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内 容 提 要 


Docker 容器 轻 量 和 可 移植 的 特性 尤其 适用 于 动态 和 分 布 式 的 环境 ， 它 的 兴起 给 软件 开发 流 
程 带 来 了 一 场 革命 。 本 书 对 Docker 进行 了 全 面 讲解 ， 包 括 开发 、 生 产 以 至 维护 的 整个 软件 生命 
周期 , 并 对 其 中 可 能 出 现 的 一 些 问题 进行 了 探讨 , 如 软件 版 本 差异 、 开 发 环境 与 生产 环境 的 差异 、 
系统 安全 问题 ， 等 等 。 

本 书 适合 软件 开发 者 、 运 维 工程 师 和 系统 管理 员 ， 尤 其 是 对 DevOps 模式 感 兴趣 的 读者 。 
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容器 是 轻 量 且 可 移植 的 仓库 ， 包 含 应 用 程序 及 其 依赖 的 组 件 。 

诚然 ， 这 个 描述 有 点 枯燥 乏味 。 不 过 ， 若 使 用 恰当 ， 容 器 对 开发 流程 的 改进 将 会 是 革命 性 
的 。 容 器 使 新 的 软件 架构 和 工作 流程 成 为 现实 ， 这 股 吸引 力 难 以 抵挡 ， 仿 佛 所 有 大 型 IT 
公司 在 一 年 里 都 从 对 Docker 或 容器 闻所未闻 转 为 积极 研究 ， 甚 至 已 经 付 诸 实践 。 

Docker 的 兴起 实在 令 人 惊讶 ， 我 印象 中 没有 任何 一 种 技术 像 它 那样 ， 对 IT 产业 产生 了 这 
么 迅速 而 又 深远 的 影响 。 我 尝试 用 这 本 书 来 帮助 你 了 解 容器 为 什么 重要 、 采 用 容器 技术 的 
好 处 是 什么 ， 以 及 最 重要 的 是 怎样 着 手 使 用 它 。 


目标 读者 
本 书 试图 全 面 地 讲解 Docker， 解 释 使 用 Docker 的 原因 ， 示 范 使 用 方法 ， 以 及 如 何 与 软件 
开发 流程 相 结合 。 本 书 的 内 容 包括 开发 、 生 产 以 至 维护 的 整个 软件 生命 周期 。 


本 书 假设 读者 只 具备 Linux 和 软件 开发 的 基础 知识 ， 主 要 的 目标 读者 为 软件 开发 者 、 运 维 
工程 师 以 及 系统 管理 员 (尤其 是 考虑 往 DevOps 方向 发 展 的 管理 员 ) ， 而 技术 型 管理 者 和 技 
术 爱 好 者 也 能 从 中 受益 。 


写作 目的 


Docker 刚 迅 速 兴起 的 时 候 ， 我 就 有 幸 知 道 它 ， 并 开始 使 用 。 当 有 机 会 写作 这 本 书 时 ， 我 毫 
不 犹 隐 地 抓 住 了 它 。 假 如 拙 作 可 以 让 部 分 读者 了 解 这 场 容器 化 革命 并 好 好 地 利用 它 ， 这 将 
超越 我 在 多 年 软件 开发 生涯 里 所 获得 的 成 就 。 

我 真诚 希望 你 会 喜欢 这 本 书 ， 希 望 它 能 帮助 你 在 公司 或 组 织 里 使 用 Docker。 


本 书 结构 


本 书 大 体 由 以 下 儿 部 分 组 成 。 











































































































xi 


第 一 部 分 首先 讲解 什么 是 容器 ,以 及 为 什么 应 该 关注 它 。 之 后 将 示范 Docker 的 基本 操作 。 
最 后 会 用 较 长 篇 幅 来 讲解 Docker 的 基本 概念 和 技术 ， 其 中 包括 Docker 命令 的 概览 。 
第 二 部 分 讲解 如 何 将 Docker 应 用 于 软件 开发 的 生命 周期 。 首 先 讲解 如 何 配置 开发 环境 ， 
然后 构建 一 个 简单 的 Web 应 用 ， 这 个 Web 应 用 的 例子 将 用 于 整个 第 二 部 分 。 这 一 部 分 
还 会 涵盖 开发 、 测试、 集成, 以 及 如 何 部 署 容器 , 如 何 有 效 地 监控 和 记录 生产 环境 的 日 志 。 
第 三 部 分 的 内 容 更 为 深入 ， 其 中 包括 在 多 主机 集群 环境 中 ， 有 哪些 工具 及 技巧 能 使 
Docker 容器 既 安 全 又 可 靠 地 运行 。 这 部 分 适合 已 经 使 用 Docker， 并 需要 了 解 如 何 扩展 
或 解决 网 络 和 安全 问题 的 读者 。 

















排版 约定 


本 书 使 用 了 下 述 排版 约定 。 





楷体 

表示 新 术语 。 

等 宽 字 体 (constant width ) 

表示 程序 片段 ， 以 及 正文 中 出 现 的 变量 、 国 数 名 、 数 据 库 、 数 据 类 型 、 环 境 变 量 、 话 名 
和 关键 字 等 。 
加 粗 等 宽 字体 (constant width bold) 

表示 应 该 由 用 户 输入 的 命令 或 其 他 文本 。 

斜体 等 宽 字 体 (Constant width italic) 

表示 应 该 替换 成 用 户 提供 的 值 ， 或 者 由 上 下 文 决定 的 值 。 











图 标 表 示 一 般 性 说 明 。 


NW 








图 标 表 示 提 示 、 建 议 或 一 般 注释 。 


Ke 





图 标 表示 警告 或 警示 。 


NS 





使 用 代码 示例 


补充 材料 (代码 示例 、 练 习 等 ) 可 以 从 https://github.com/using-docker/ 下 载 。 





Xii 


| -> 


出 吾 





本 书 是 要 帮 你 完成 工作 的 。 一 般 来 说 ， 如 果 本 书 提供 了 示例 代码 ， 你 可 以 把 它 用 在 你 的 程 
序 或 文档 中 。 除 非 你 使 用 了 很 大 一 部 分 代码 ， 否 则 无 需 联系 我 们 获得 许可 。 比 如 ， 用 本 书 
的 几 个 代码 片段 写 一 个 程序 就 无 需 获 得 许可 ， 销 售 或 分 发 O'Reilly 图 书 的 示例 光盘 则 需要 
获得 许可 ， 引 用 本 书 中 的 示例 代码 回答 问题 无 需 获 得 许可 ， 将 书 中 大 量 的 代码 放 到 你 的 产 
品 文档 中 则 需要 获得 许可 。 

我 们 很 希望 但 并 不 强制 要 求 你 在 引用 本 书 内 容 时 加 上 引用 说 明 。 引 用 说 明 一 般 包 括 书 名 、 
作者 、 出 版 社 和 ISBN。 比 如 :“Using Docker by Adrian Mouat (O’Reilly). Copyright 2016 
Adrian Mouat, 978-1-491-91576-9.” 


如 果 你 觉得 自己 对 示例 代码 的 用 法 超出 了 上 述 许可 的 范围 ， 欢 迎 你 通过 permissions@ 
oreilly.com 与 我 们 联系 。 

















Safari2 Books Online 


.aa Safari Books Online (http://www.safaribooksonline.com) 是 应 运 而 

4 Safa 门生 的 数字 图 书馆 。 它 同时 以 图 书 和 视频 的 形式 出 版 世界 顶级 技术 

和 商务 作家 的 专业 作品 。 技 术 专家 、 软 件 开 发 人 员 、Web 设计 师 、 

商务 人 士 和 创意 专家 等 ， 在 开展 调研 、 解 决 问题 、 学 习 和 认证 培训 时 ， 都 将 Safari Books 
Online 视 作 获取 资料 的 首选 渠道 。 

对 于 组 织 团 体 、 政 府 机 构 和 个 人 ，Safari Books Online 提供 各 种 产品 组 合 和 灵活 的 定 

价 策略 。 用 户 可 通过 一 个 功能 完备 的 数据 库 检 索 系 统 访问 O'Reilly Media、Prentice 


Hall Professional、Addison-Wesley Professional、Microsoft Press、Sams、Que、Peachpit 






































Press、 Focal Press、Cisco Press、John Wiley & Sons、 Syngress、 Morgan Kaufmann、IBM 
Redbooks、 Packt、Adobe Press、 FT Press、Apress、Manning、New Riders、McGraw-Hill、 
Jones 多 Bartlett、Course Technology 以 及 其 他 几 十 家 出 版 社 的 上 千 种 图 书 、 培 训 视 频 和 正 
式 出 版 之 前 的 书稿 。 要 了 解 Safari Books Online 的 更 多 信息 ， 我 们 网 上 见 。 


联系 我 们 
请 把 对 本 书 的 评价 和 问题 发 给 出 版 社 。 
美国 : 
O’Reilly Media, Inc. 
1005 Gravenstein Highway North 
Sebastopol, CA 95472 
中 国 : 
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O’Reilly 的 每 一 本 书 都 有 专属 网 页 ， 你 可 以 在 那儿 找到 本 书 的 相关 信息 ， 包 括 勘误 表 、 示 
例 代 码 以 及 其 他 信息 。 本 书 的 网 站 地 址 是 : 
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对 于 本 书 的 评论 和 技术 性 问题 ， 请 发 送 电 子 邮 件 到 : 
bookquestions @oreilly.com 
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第 一 部 分 


景 与 基础 





了 JD 


本 书 第 一 部 分 首先 介绍 容器 是 什么 ， 以 及 它 为 什么 会 变 得 如 此 流行 ， 然 后 介绍 Docker 以 
及 为 充分 利用 容器 所 需 了 解 的 关键 概念 。 





容器 从 根本 上 改变 了 人 们 开发 、 发 布 以 及 运行 软件 的 方式 。 软 件 开发 者 可 以 在 本 地 构建 软 
件 ， 因 为 他 们 知道 软件 能 够 在 任何 主机 环境 下 运行 ， 无 论 是 开 部 门 的 机 房 、 用 户 的 笔记 
本 电脑 ， 还 是 云端 集群 ， 而 且 运行 时 并 无 差异 。 运 维 工 程 师 只 需 专 注 于 维护 网 络 和 资源 ， 
保证 正常 运行 时 间 ， 减少 了 花 在 配置 环境 及 解决 系统 依赖 关系 上 的 时 间 。 从 规模 很 小 的 创 
业 公司 ， 到 规模 庞大 的 企业 ， 容 器 的 使 用 率 和 理解 程度 正 以 惊人 的 速度 提升 。 可 以 预见 ， 
在 未 来 几 年 ， 开 发 者 和 运 维 工程 师 将 以 不 同形 式 广泛 使 用 容器 技术 。 


容器 是 对 应 用 程序 及 其 依赖 关系 的 封装 。 乍 一 看 容器 只 是 个 轻 量 级 的 虚拟 机 ， 它 和 虚拟 机 
一 样 拥有 一 个 被 隔离 的 操作 系统 实例 ， 用 来 运行 应 用 程序 。 


但 容器 拥有 一 些 优点 ， 使 它 能 实现 一 些 传统 虚拟 机 很 难 实现 甚至 无 法 实现 的 用 例 。 


。 容器 能 与 主机 的 操作 系统 共享 资源 ， 因 而 它 的 效率 高 出 一 个 数量 级 。 启 动 和 停止 容器 均 
只 需 一 瞬间 。 相 比 在 主机 上 直接 运行 程序 ， 容 器 的 性 能 损耗 非常 低 ， 甚 至 是 零 损 耗 。 

。 容器 具有 可 移植 性 ， 这 极 有 可 能 彻底 解决 由 于 运行 环境 的 些许 改变 而 导致 的 问题 ， 其 至 
有 可 能 彻底 终止 开发 者 的 抱怨 :“ 可 是 程序 在 我 的 计算 机 上 能 正常 工作 ! ” 

。 容器 是 轻 量 的 ， 这 意味 着 开发 者 能 同时 运行 数 十 个 容器 ， 并 能 模拟 分 布 式 系统 在 真实 运 
行 环境 下 的 情况 。 运 维 工程 师 在 一 台 主机 上 能 运行 的 容器 数量 , 远 远 超过 仅 使 用 虚拟 机 时 。 

。 对 于 最 终 用 户 及 开发 者 而 言 ， 容 器 的 优势 不 仅仅 体现 在 云端 部 署 。 用 户 可 以 下 载 并 执行 
复杂 的 应 用 程序 ， 而 无 需 花 费 大 量 时 间 在 配置 和 安装 的 问题 上 ， 也 无 需 担心 对 系统 本 身 
的 改动 。 另 一 方面 ， 应 用 程序 的 开发 者 不 用 再 操心 用 户 环境 的 差异 ， 以 及 依赖 关系 是 否 
请 足 。 

更 重要 的 是 ， 虚 拟 机 和 容器 的 根本 目标 不 尽 相 同 。 虚 拟 机 的 目的 是 要 完整 地 模拟 另 一 个 环 

境 ， 而 容器 的 目的 则 是 使 应 用 程序 能 够 移植 ， 并 把 所 有 依赖 关系 包含 进去 。 



























































1.1 容器 与 虚拟 机 的 比较 


虽然 容器 和 虚拟 机 乍 一 看 很 相似 ， 但 它们 之 间 有 着 重大 的 差异 ， 用 图 就 能 轻松 解释 这 些 差异 。 


1-1 中 有 三 个 应 用 程序 ， 分 别 运行 在 主机 的 不 同 虚 拟 机 上 。 这 里 需要 一 个 虚拟 机 管理 程 
序 (hypervisor) “来 创建 及 运行 虚拟 机 ， 控 制 访问 底层 操作 系统 及 硬件 的 权限 ， 以 及 在 必要 
时 解析 系统 调用 接口 。 每 个 虚拟 机 需要 一 个 完整 的 操作 系统 、 用 来 运行 的 应 用 程序 以 及 所 
需 的 程序 库 。 


相 比 之 下 ， 图 1-2 展示 了 上 述 三 个 应 用 程序 在 容器 化 系统 中 运行 的 情况 。 与 虚拟 机 不 同 ， 
主机 的 内 核 ”与 容器 共享 ， 这 意味 着 容器 只 能 运行 与 主机 一 样 的 内 核 。 应 用 程序 Y 和 ZzZ 使 
用 相同 的 程序 库 ， 该 程序 库 可 以 被 不 同 的 应 用 程序 同时 使 用 ， 只 需 一 份 ， 不 用 复制 。 容 器 
引擎 (container engine) 负责 启动 及 停止 容器 ， 与 虚拟 机 管理 程序 差不多 。 但 是 ， 容 器 中 执 
行 的 进程 与 主机 自身 的 进程 是 等 价 的 ， 因 此 没有 类 似 虚 拟 机 管理 程序 执行 所 带 来 的 损耗 。 
虚拟 机 与 容器 都 可 以 把 主机 上 的 应 用 程序 隔离 开 来 。 虚 拟 技 术 中 的 虚拟 机 管理 程序 能 带 来 
更 高 一 级 的 隔离 性 能 ， 是 已 被 公认 且 千 锤 百 炼 的 技术 。 容 器 技术 相对 较 新 ， 很 多 公司 在 取 
得 充分 可 靠 的 运行 记录 前 ， 无 法 完全 信任 容器 的 隔离 性 能 。 因 此 ， 不 难 发 现 有 些 系统 同时 
采用 这 两 种 技术 ， 将 容器 运行 在 虚拟 机 内 ， 这 样 就 能 鱼 与 能 掌 兼 得 。 
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1-1: 运行 在 同一 台 主 机 上 的 3 个 虚拟 机 








注 1: 图 中 表达 的 是 第 二 类 虚拟 机 管理 程序 , 如 Virtualbox 和 YMWare Workstation, 它 运行 在 操作 系统 之 上 。 
也 有 第 一 类 虚拟 机 管理 程序 ， 如 Xen， 它 直接 运行 在 裸 机 上 。 

注 2: 内 核 是 操作 系统 的 核心 部 分 ， 负 责 为 应 用 程序 提供 关于 内 存 、CPU 以 及 设备 访问 的 基本 系统 功能 。 
一 个 完整 的 操作 系统 包括 内 核 和 各 种 系统 程序 ， 如 启动 (init) 系统 、 编 译 器 和 窗口 管理 器 。 
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1-2: 运行 在 同一 台 主 机 上 的 3 个 容器 


1.2 Docker 与 容器 


容器 并 不 是 新 概念 。 几 十 年 来 ，UNIX 系统 一 直 以 chroot 命令 来 提供 简单 的 文件 系统 隔 
离 。 自 1998 年 起 ，FreeBSD 有 了 jail 命令 ， 它 把 chroot 的 沙 盒 机 制 扩 展 至 进程 。2001 年 
左右 ，Solaris Zones 提供 了 一 个 相对 完整 的 容器 化 技术 ， 但 它 只 能 用 于 Solaris 操作 系统 。 
同样 在 2001 年 ，Parallels 公司 (当时 称 为 SWsoft) 推出 用 于 Linux 的 商业 容器 技术 ， 名 
为 Virtuozzo， 并 于 2005 年 把 核心 技术 开源 ， 称 其 为 OpenVZ。” 然后， 谷歌 开始 为 Linux 
内 核 开 发 CGroups 机 制 ， 并 开始 将 它 的 基础 设施 容器 化 。2008 年 ，Linux 容器 (Linux 
Containers，LXC) 项 目 启 动 ， 它 把 CGroups、 内 核 命名 空间 以 及 chroot 等 技术 融合 ， 提 供 
了 一 套 完整 的 容器 方案 。 最 后 ，Docker 于 2013 年 补充 了 当时 容器 化 技术 的 不 足 ， 将 容器 
技术 带 入 主流 。 

Docker 利用 现 有 的 Linux 容器 技术 ， 以 不 同方 式 将 其 封装 及 扩展 一 一 主要 是 通过 提供 可 移植 的 
镜像 ， 以 及 一 个 用 户 友好 的 接口 来 创建 一 套 完整 的 容器 创建 及 发 布 方案 。Docker 平台 拥有 
两 个 不 同 部 分 : 负责 创建 与 运行 容器 的 Docker 引擎， 以 及 用 来 发 布 容器 的 云 服务 Docker Hub。 
Docker 引擎 提供 了 一 个 快速 且 便 捷 的 接口 用 来 运行 容器 。 在 此 之 前 ， 使 用 如 LXC 等 技术 
运行 容器 需要 相当 多 的 专业 知识 以 及 手动 操作 。Docker Hub 提供 大 量 的 公共 容器 镜像 以 供 
下 载 ， 方 便 用 户 快速 上 手 ， 并 且 避 免 了 重复 劳动 。Docker 还 进一步 开发 了 更 多 的 工具 ， 如 
集群 管理 工具 Swarm、 用 于 处 理 容 器 的 图 形 用 户 界面 Kitematic， 以 及 部 署 Docker 主机 的 
命令 行 工 具 Machine。 


由 于 Docker 引擎 是 开源 的 ， 这 使 得 Docker 社区 日 益 壮 大 ， 并 能 借助 大 家 的 帮助 来 修正 问 



















































































注 3: OpenVZ 一 直 没 有 大 规模 普及 ， 可 能 是 由 于 需要 对 内 核 打 补丁 所 致 。 
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题 及 改进 。Docker 的 迅速 凯 起 ， 使 它 成 为 事实 上 的 业界 标准 ， 由 此 业界 不 得 不 为 容器 运 
行 环境 及 格式 发 展 出 一 套 独立 于 任何 组 织 的 正式 标准 。2015 年 ， 开 放 容 器 促进 会 (Open 
Container Initiative，OCI) 终于 成 立 ， 它 是 一 个 由 Docker、 微 软 、CoreOS 以 及 多 个 重要 团 
体 组 成 的 管理 架构 ， 目 标 就 是 要 发 展 出 这 一 标准 。Docker 的 容器 格式 以 及 运行 环境 组 成 了 
这 一 工作 的 基石 。 

容器 技术 的 兴起 很 大 一 部 分 是 由 开发 者 所 驱动 的 ， 也 是 他 们 首次 使 用 了 能 真正 发 挥 容器 革 
力 的 工具 。 对 实施 快速 欠 代 开发 模式 的 开发 者 来 说 ，Docker 容器 能 迅速 启动 至 关 重 要 ， 因 
为 他 们 可 以 很 快 看 到 代码 变更 后 的 结果 。 容 器 能 保障 的 可 移植 性 及 隔离 特性 ， 使 得 开发 与 
运 维 部 门 之 间 更 容易 协作 ， 因 为 开发 者 知道 他 们 的 代码 在 不 同 环境 下 都 能 工作 ， 而 运 维 部 
门 只 需 专注 于 容器 的 托管 及 服务 编排 ， 而 无 需 担心 任何 关于 代码 的 事 。 


Docker 为 软件 开发 带 来 了 翻天 履 地 的 变化 。 假 如 没有 Docker， 在 很 长 一 段 时 间 内 容器 将 仍 
是 一 种 鲜 为 人 知 的 技术 。 
























































航运 的 比喻 
Docker 的 哲学 经 常用 航运 集装箱 的 比喻 来 解释 ， 这 或 许 能 解释 Docker 名 字 的 由 来 。 
这 个 比喻 大 概 是 这 样 的 。 


运输 货物 时 ， 要 用 到 多 种 不 同 的 运输 工具 ， 可 能 包括 货车 、 又 车 、 起 重 机 、 火 车 和 轮 
船 。 这 意味 着 这 些 工 具 必须 能 够 处 理 大 小 不 一 、 运 输 需 求 各 异 的 货物 (例如 袋 装 的 咖 
啡 、 桶 装 的 有 毒化 学 品 、 金 装 的 电子 产品 、 成 队 的 豪华 轿车 、 冷 冻 羊 排 ) 。 以 往 这 是 一 
道 复杂 且 成 本 高 昂 的 工序 ， 需 要 付出 大 量 人 力 物 力 。 如 图 1-3 所 示 ， 码 头 工人 在 每 个 
中 转 站 手动 装卸 贷 物 。 


联运 集装箱 的 诞生 为 运输 产业 带 来 了 一 场 革命 。 集 装 箱 的 大 小 有 了 统一 标准 ， 并 且 设 
计 的 出 发 点 是 能 以 最 少 的 人 力 在 不 同 的 运输 方式 之 间 搬 运 。 所 有 的 运输 机 械 ， 无 论 是 
又 车 和 起 重 机 ， 还 是 货车 、 火 车 和 轮船 ， 都 为 搬运 这 些 集装箱 而 设计 。 运 输 对 温度 敏 
感 的 货物 (如 食品 和 药物 ) 时 ， 可 以 使 用 具有 冷冻 及 保温 功能 的 集装箱 。 标 准 化 的 好 处 
甚至 延伸 到 其 他 支撑 体系 ， 如 集装箱 的 标签 及 铅 封 方式 。 因 此 ， 运 输 产 业 只 需 专注 于 处 
理 集装箱 本 身 的 搬运 以 及 储存 的 问题 ， 而 集装箱 内 的 东西 则 完全 由 货物 生产 商 负 责 。 


Docker 的 目标 是 把 集装箱 的 标准 化 流程 运用 到 IT 行业 中 去 。 近 年 来 ， 软 件 系统 的 多 
样 性 激增 。 在 单一 机 器 中 运行 LAMP” 组 合 的 日 子 已 一 去 不 复 返 。 如 今 典型 的 系统 可 能 
包含 JavaScript 框架 、NoSQL 数据 库 、 消 息 队 列 、REST API， 以 及 由 各 种 不 同 编程 语 
言 所 写 的 后 端 。 而 这 个 组 合 的 全 部 或 部 分 都 需要 能 够 在 各 种 不 同 的 硬件 上 运行 一 一 从 
开发 者 的 笔记 本 电脑 ， 到 公司 内 部 的 测试 集群 ， 再 到 云端 的 生产 环境 。 每 个 环境 者 在 
在 差异 ， 它 们 在 不 一 样 的 硬件 上 运行 着 不 一 样 的 操作 系统 和 不 同 版 本 的 程序 库 。 简 而 
言 之 ， 我 们 的 问题 与 当时 运输 产业 遇 到 的 极为 相似 我 们 正 不 断 付 出 巨大 人 力 ， 在 
不 同 环境 之 间 移 动 程 序 。Docker 容器 简化 了 移动 应 用 程序 的 工作 ， 好 比 联 运 集装箱 简 

















注 4: LAMP 本 来 是 Linux、Apache、MySQL 和 PHP 的 缩写 ， 它 们 都 是 常见 于 Web 应 用 的 组 件 。 
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化 了 货物 运输 一 样 。 开 发 者 只 需 专 注 于 程序 开发 ， 再 也 不 用 担心 测试 与 正式 发 布 时 环 
境 及 依赖 关系 的 差异 所 带 来 的 问题 。 运 维 部 门 则 只 需 专 心 处 理 与 运行 容器 相关 的 核心 
问题 ， 例 如 分 本 资源、 启动 和 停止 容器 ， 以 及 在 服务 器 间 的 迁移 工作 。 





ART 


图 1-3: 码头 工人 在 英国 布 里 斯 托 市 工作 ， 报 于 1940 年 (来 自 英国 信息 部 图 片 处 摄影 师 ) 











1.3 Docker 的 历史 


2008 年 ，Solomon Hykes 为 了 建立 一 个 与 编程 语言 无 关 的 平台 即 服 务 (Platform-as-a- 
Service，PaaS) 产品 ， 创 立 了 dotCloud 公司 。 编 程 语言 无 关 这 个 特性 是 dotCloud 独一无二 
的 卖点 ， 因 为 当时 的 PaaS 都 必定 与 某 些 语言 细 定 〈 例 如 Heroku 支持 Ruby，Google App 
Engine 支持 Java 和 Python)。2010 年 ，dotCloud 参与 了 Y Combinator 的 加 速 器 计划 ， 认 
识 了 一 些 新 的 合作 伙伴 ， 并 开始 吸引 到 一 些 真正 的 投资 。 主 要 的 转机 出 现在 2013 年 3 月 ， 
那 时 候 dotCloud 将 其 核心 组 件 Docker 开源 。 很 多 公司 都 害怕 这 样 做 会 失去 自己 那 只 会 下 
金 蛋 的 鹅 ， 但 dotCloud 则 认为 把 Docker 转化 成 一 个 社区 运作 的 项 目 会 令 其 受益 恨 多 。 


Docker 早期 的 版 本 只 是 在 简单 封装 LXC 以 及 联合 文件 系统 (union filesystem) 之 上 多 加 了 
点 东西 ， 但 往 后 无 论 是 发 展 还 是 被 接受 的 速度 都 快 得 惊人 。6 个 月 内 Docker 就 在 GitHub 
上 获得 了 6700 多 颗 星 ， 以 及 175 名 非 公司 员工 的 贡献 者 。 这 导致 dotCloud 把 公司 名 称 改 
为 Docker， 并 将 公司 的 商业 模式 重新 定位 。0.1 版 本 发 布 15 个 月 后 ，Docker 1.0 于 2014 年 
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6 月 发 布 。Docker 1.0 代表 着 稳定 性 与 可 靠 性 的 飞跃 一 一 它 声 称 已 经 “生产 就 绪 " ， 虽 然 在 
这 之 前 就 已 经 有 一 些 公 司 (如 Spotify 和 百度 ) 正式 投入 使 用 。 同 时 ，Docker 推出 了 一 个 
名 为 Docker Hub 的 公共 容器 仓库 ， 这 标志 着 Docker 从 一 个 单纯 的 容器 引擎 开始 转变 为 一 
个 完整 的 平台 。 

其 他 公司 很 快 就 发 现 了 Docker 的 潜力 。 红 帽 于 2013 年 9 月 成 为 了 它 的 主要 合作 伙伴 ， 利 
用 Docker 来 驱动 它 的 OpenShift 云 业 务 。 人 谷歌 、 亚 马 进 和 DigitalOcean 也 迅速 地 在 其 云 服 
务 平 台 提供 Docker 的 支持 。 有 几 家 创业 公司 也 开始 了 专门 从 事 Docker 托管 的 业务 ， 例 如 
StackDock。2014 年 10 月 ， 微 软 公 布 未 来 的 Windows Server 将 会 支持 Docker， 这 代表 着 
这 家 让 人 自然 联想 到 腾 肿 企业 软件 的 公司 ， 在 定位 上 也 作出 了 重大 改变 。 


在 2014 年 12 月 举行 的 DockerConEU 上 ,Docker Swarm 与 Docker Machine 同时 面世 。 
Docker Swarm 是 一 个 Docker 集群 管理 工具 ， 而 Docker Machine 是 个 部 署 Docker 主机 的 命 
令 行 工具 。 这 表明 Docker 的 意图 不 仅仅 是 提供 Docker 引擎 ， 而 是 提供 一 个 完整 且 综 合 的 
容器 运行 方案 。 

在 同一 个 月 里 ，CoreOS 宣布 开发 自家 的 容器 运行 环境 tkt 以 及 appc 容器 规范 。2015 年 
6 月 ，DockerCon 在 旧金山 举行 ， 来 自 Docker 的 Solomon Hykes 与 来 自 CoreOS 的 Alex 
Polvi 宣布 开放 容器 促进 会 (当时 称 为 开放 容器 计划 ，Open Container Project) 正式 成 立 ， 
目的 是 要 发 展 出 一 套 通 用 的 容器 格式 与 运行 环境 的 标准 。 
同样 是 2015 年 6 月 ，FreeBSD 项 目 宣布 支持 Docker 利用 ZFS 和 Linux 兼容 层 来 运行 。2015 
年 8 月 ，Docker 与 微软 推出 专 为 Windows server 开发 的 Docker Engine“ 技 术 预 览 ”版 。 


Docker 1.8 版 本 引入 了 “内 容 信任 ”(content trust) 特性 ， 能 够 核实 Docker 镜像 的 完整 性 
和 发 布 者 身份 。 对 于 建立 基于 Docker 仓库 镜像 的 可 信 工 作 流程 ,“ 内 容 信任 ”是 个 很 重要 
的 构成 部 分 。 


1.4 ”插件 与 基础 设施 


Docker 公司 一 直 勇 于 承认 它 的 成 功 有 赖 于 生态 系统 。 当 Docker 公司 正 全 心 全 意 地 建造 一 
个 稳定 且 生 产 就 绪 的 容器 引擎 时 ， 其 他 公司 (如 CoreOS、WeaveWorks 和 ClusterHQ) 则 
在 其 他 相关 领域 发 展 ， 辟 如 容器 的 服务 编排 和 网 络 连接 。 但 不 久之 后 ， 显 然 Docker 公司 
正在 准备 提供 一 套 完整 的 开 箱 即 用 平台 ， 其 功能 包括 联网 、 储 存 以 及 服务 编排 。 为 了 鼓励 
生态 系统 的 持续 发 展 ， 并 确保 用 户 能 取得 各 式 各 样 用 例 的 解决 方案 ，Docker 公司 宣布 将 会 
为 Docker 建立 一 套 模 块 化 且 可 扩展 的 框架 ， 原 有 的 组 件 可 以 替换 为 第 三 方 组 件 ， 或 者 加 
入 第 三 方 提供 的 扩展 功能 。Docker 公司 称 这 一 功能 为 “包含 电池 ， 却 可 更 换 ”(Batteries 
Included, But Replaceable) ， 意 思 是 它 会 提供 一 套 完整 的 方案 ， 但 其 中 部 分 可 以 随意 更 换 。” 


撰写 本 书 时 ， 播 件 框架 已 经 可 用 ， 但 仍 在 起 步 阶段 。 目 前 已 有 数 个 插件 用 于 通过 网 络 来 连 
接 容 器 和 数据 管理 。 






















































































































































































注 5: 我 个 人 并 不 喜欢 这 人 句 话 ， 因 为 所 有 电池 提供 的 功能 都 差不多 ， 而 且 禁 换 的 时 候 ， 都 必须 使 用 相同 大 小 
和 电压 的 电池 。 我 估计 这 句 话 是 来 自 Python 语言 的 “包含 电池 ”格言 ， 它 指 的 是 Python 本 身 已 经 包 
含 一 个 功能 广泛 的 标准 库 。 
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另外 ，Docker 还 遵守 一 份 自己 制订 的 宣言 ， 称 为 “基础 设施 构建 宣言 ”(Infrastructure 
Plumbing Manifesto) 。 该 宣言 承诺 尽 可 能 重用 和 改进 现 有 的 基础 设施 组 件 ， 并 且 在 社区 需 
要 新 工具 的 时 候 ， 将 可 以 重复 使 用 的 组 件 回馈 给 社区 。 这 促使 用 于 运行 容器 的 底层 代码 被 
拆 分 出 来 ， 成 为 runC 项 目 ， 并 由 OCI 监管 ， 从 而 任何 人 都 可 以 重复 利用 来 搭建 其 他 的 容 
器 平台 。 


1.5 64 位 Linux 


撰写 本 书 时 ，64 位 Linux 是 唯 个 能 稳定 运行 Docker 且 适 合用 于 生产 环境 的 平台 。 这 
就 意味 着 ， 你 的 计算 机 必须 运行 64 位 的 Linux 发 行 版 ， 而 所 有 的 容器 也 必须 是 64 位 
Linux。 如 果 你 使 用 的 是 Windows 或 Mac OS， 你 可 以 在 虚拟 机 里 运行 Docker。 

其 他 平台 ， 如 BSD、Solaris 及 Windows Server 的 原生 支持 还 处 于 开发 中 的 不 同 阶段 。 由 
于 Docker 并 非 使 用 虚拟 化 技术 ， 容 器 必须 与 主机 的 内 核 一 致 Windows Server 的 容器 只 
能 在 Windows Server 的 主机 上 运行 ，64 位 Linux 的 容器 只 能 在 64 位 Linux 的 主机 上 运行 。 









































微服 务 和 单一 架构 
微服 务 是 容器 最 主要 的 用 例 ， 也 是 容器 技术 兴起 的 最 大 推动 力 。 


微服 务 是 一 种 软件 系统 开发 和 构成 形式 ， 由 小 而 独立 的 组 件 组 成 ,这些 组 件 通 过 网 络 
互相 连接 沟通 。 这 与 传统 的 单一 架构 (monolith) 软件 开发 模式 相反 ， 后 者 只 有 一 个 
庞大 的 程序 ， 一 般 由 C++ 或 Java 实现 。 


当 需 要 扩展 一 个 单一 架构 的 软件 时 ， 纵 向 扩展 (scale up) 往往 是 唯一 选择 ， 也 就 是 
说 ， 需 要 把 机 器 升级 ， 增 加 内 存 和 使 用 更 强大 的 CPU， 才 能 应 付 更 多 的 负载 。 相 反 ， 
微服 务 则 设计 成 横向 扩展 (scale out)， 为 了 满足 增长 的 需求 ， 只 需 部 署 多 台 机 器 挫 分 
负载 即 可 。 微 服务 架构 还 可 以 针对 系统 中 的 瓶颈 ， 只 扩展 某 个 特定 服务 所 需 的 资源 。 
但 对 于 单一 架构 而 言 ， 要 么 扩展 所 有 东西 ， 要 么 不 扩展 ， 而 这 会 造成 资源 浪费 。 

就 系统 复杂 度 而 言 ， 微 服务 是 把 双 刃 剑 。 每 个 单独 的 徽 服务 都 应 该 易于 理解 和 修改 ， 
但 是 ， 在 一 个 拥有 几 十 到 几 百 个 这 类 服务 的 系统 中 ,组 件 之 间 的 交互 会 导致 整体 的 复 
杂 度 增加 。 

容器 与 生 俱 来 的 轻 量 级 特性 及 速度 ， 意 味 着 它 尤 其 适合 用 于 微服 务 架 构 。 与 虚拟 机 相 
比 ， 容 器 的 体积 小 很 多 ， 并 且 能 快速 部 署 ， 这 使 得 微服 务 架构 能 使 用 最 少 的 资源 ， 又 
能 迅速 应 对 需求 的 变化 。 

更 多 关于 微服 务 的 信息 ， 参 见 Sam Newman 的 著作 《微服 务 设计 》"， 以 及 Martin 
Fowler 的 “微服 务 资源 指南 ”(Microservice Resource Guide,，http://martinfowler.com/ 


microservices/) 。 
































注 6: 该 书 已 由 人 民 邮 电 出 版 社 
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本 章 概 述 安 装 Docker 的 步骤 。 根 据 你 所 用 的 操作 系统 ， 安 装 时 或 许 会 遇 到 一 些小 问题 ; 
不 过 运气 好 的 话 ， 安 装 过 程 应 该 是 简单 和 轻松 的 。 如 果 你 已 安装 Docker 的 最 新 版 本 (1.8 
或 之 后 ) ， 可 以 直接 跳 到 下 一 章 。 


2.1 在 Linux 上 安装 Docker 


目前 为 止 ， 在 Linux 上 安装 Docker 最 好 的 方法 就 是 使 用 Docker 提供 的 安装 脚本 。 虽 然 大 
部 分 主流 Linux 发 行 版 都 有 自己 的 软件 包 ， 但 很 多 时 候 这 些 软件 包 的 版 本 都 落后 于 Docker 
的 发 布 版 本 。 鉴 于 Docker 开发 的 步伐 较 快 ， 因 此 绝 不 能 忽略 这 个 问题 的 严重 性 。 

Docker 的 系统 要 求 

Docker 对 系统 并 没有 太 多 要 求 ， 不 过 你 需要 一 个 较 新 的 内 核 (编写 本 书 时 是 
3.10 或 以 上 版 本 )。 可 以 通过 执行 uname -r 来 检查 你 的 内 核 版 本 。 如 果 你 使 

用 的 发 行 版 是 RHEL 或 CentOS， 便 需要 7 或 之 后 的 版 本 。 

还 需要 注意 ， 系 统 架构 必须 是 64 位 。 系 统 架构 可 以 通过 执行 uname -nm 查询 ， 
结果 应 为 x86_64。 






































你 可 以 通过 https://get.docker.com 提供 的 脚本 来 自动 安装 Docker。 按 照 官方 的 说 明 ， 只 需 
执行 curl -ssSL | sh 或 wget -q0- | sh 就 可 以 了 ,但 建议 在 执行 脚本 前 先 检查 一 下 它 的 内 
容 ， 确 保 你 接受 它 对 你 的 系统 所 作 的 改动 : 


$ curl https://get.docker.com > /tmp/install.sh 
$ cat /tmp/install.sh 








$ chmod +x /tmp/install.sh 


$ /tmp/install.sh 


这 个 脚本 会 先 做 数 个 检查 ， 然 后 用 适合 你 的 系统 的 包 安装 Docker。 如 有 果 它 发 现 系 统 缺 少 了 
一 些 安全 和 文件 系统 功能 所 需要 的 依赖 关系 ， 还 会 把 它们 一 并 安装 。 

如 果 你 完全 不 想 使 用 安装 程序 ， 或 者 希望 使 用 一 个 安装 程序 未 提供 的 Docker 版 本 ， 你 
也 可 以 在 Docker 网 站 下 载 二 进 制 文件 。 这 样 做 的 缺点 是 它 不 会 检查 依赖 关系 ， 并 且 以 
后 需要 手动 安装 更 新 。 有 关 二 进 制 文件 的 更 多 信息 和 下 载 链接 ， 参 见 Docker Binary 网 页 


(https://docs.docker.com/engine/installation/binaries/) 。 




















已 通过 Docker 1.8 验证 
撰写 本 书 时 ，Docker 的 版 本 为 1.8。 所 有 命令 皆 已 通过 该 版 本 验证 。 




















2.1.1 将 SELinux 置 于 宽容 模式 下 运行 

如 果 你 正在 运行 基于 红 帽 的 发 行 版 ， 包 括 RHEL、CentOS 和 Fedora， 那 么 很 有 可 能 已 经 安 
装 了 SELinux 安全 模块 。 

刚 开 始 使 用 Docker 时 ， 建 议 以 宽容 (permissive) 模式 运行 SELinux， 这 样 SELinux 将 只 
把 错误 写 进 日 志 ， 而 非 强 制 执行 。 如 果 以 强制 (enforcing) 模式 运行 SELinux， 那 么 很 有 可 
能 在 执行 书 中 的 范例 时 ， 会 遇 到 各 种 莫名 其 妙 的 “权限 不 足 ”(Permission Denied) 错误 。 


要 查看 你 的 SELinux 处 于 什么 模式 ， 可 以 通过 执行 sestatus 命令 的 结果 得 知 。 例 如 : 























$ sestatus 

SELinux status: enabled 
SELinuxfs mount: /sys/fs/selinux 
SELinux root directory: /etc/selinux 
Loaded policy name: targeted 
Current mode: enforcing ©@ 
Mode from config file: error (Success) 
Policy MLS status: enabled 

Policy deny_unknown status: allowed 

Max kernel policy version: 28 


@ 如 果 这 里 显示 “enforcing”， 代 表 SELinux 已 生效 并 会 强制 执行 规则 。 
要 将 SELinux 设 为 宽容 模式 ， 只 需 执 行 sudo setenforce 0。 


更 多 关于 SELinux 的 信息 ， 以 及 为 什么 在 对 Docker 足够 有 把 握 后 才 应 打开 SELinux， 参 见 
13:9.1 3 


2.1.2 不 使 用 sudo 命 令 执 行 Docker 
因为 Docker 运行 时 需要 特殊 权限 ， 所 以 默认 执行 命令 时 都 必须 在 前 面 加 上 sudo。 但 这 样 








做 确实 使 人 厌烦 ， 一 个 可 行 的 解决 方法 是 把 用 户 放 进 docker 用 户 组 里 。 在 Ubuntu 下 你 五 
以 输入 : 


$ sudo usermod -aG docker SUSER 


如 果 docker 用 户 组 不 存在 ， 这 个 命令 会 创建 它 ， 并 且 把 当前 的 用 户 添 加 到 组 里 。 然 后 ， 你 
需要 先 注销 并 再 登入 系统 。 其 他 Linux 发 行 版 的 做 法 应 该 大 同 小 异 。 


你 还 需要 重启 Docker 服务 ， 不 同 发 行 版 的 操作 方法 也 不 一 样 。Ubuntu 下 的 操作 方法 如 下 : 
$ sudo service docker restart 
为 简洁 起 见 ， 书 中 所 有 关于 Docker 的 命令 都 会 把 sudo 省 略 。 


将 用 户 加 入 docker 用 户 组 等 同 于 赋予 他 root 权限 。 因 此 ， 你 应 了 解 它 所 带 
来 的 安全 隐患 ， 如 果 你 的 机 器 是 共享 的 ， 那 么 尤其 要 注意 。 更 多 这 方面 的 
信息 ， 请 参见 Docker security 网 页 (https://docs.docker.com/engine/security/ 















































security/ J 


2.2 在 Mac OS 及 Windows 上 安装 Docker 


如 果 你 使 用 的 操作 系统 是 Windows 或 Mac OS， 那 么 你 需要 某 种 虚拟 化 技术 才能 使 
用 Docker。 : 你 可 以 下 载 整套 的 虚拟 机 并 按照 Linux 的 说 明 来 安装 Docker， 或 选择 安装 
Docker Toolbox 工具 箱 (https://www.docker.com/toolbox)。Docker Toolbox 包含 一 个 极 小 的 
boot2docker 虚拟 机 ， 以 及 本 书 中 将 会 使 用 的 一 些 Docker 工具 ， 例 如 Compose 和 Swarm。 
如 果 使 用 Homebrew 在 Mac 下 安装 应 用 ， 你 会 发 现 boot2docker 的 brew recipe; 不 过 一 般 
我 会 建议 使 用 官方 的 Toolbox 来 安装 ， 以 免 遇 到 问题 。 
Toolbox 成 功 安装 后 ， 便 可 以 打开 Docker 的 quickstart 终端 使 用 Docker。? 除 此 以 外 ， 也 可 
以 通过 以 下 命令 来 配置 当前 的 终端 : 

$ docker-machine start default 

Starting VM... 

Started machines may have new IP addresses. You may need to rerun the 


‘docker-machine env ”command . 
$ eval $(docker-machine env default) 


把 你 的 环境 设置 妥当 ， 然 后 就 能 够 访问 虚拟 机 里 的 Docker Engine 了 。 
使 用 Docker Toolbox 时 务必 注意 以 下 事项 。 














注 1: 微软 与 Docker 已 宣布 将 联合 推动 Windows Server 对 Docker 的 支持 。 未 来 Windows Server 用 户 不 再 
需要 透 过 虚拟 化 技术 便 能 够 启动 Windows 的 镜像 。(Docker 与 微软 已 于 2016 年 9 月 宣布 Windows 
Server 2016 正式 支持 Docker，https://blog.docker.com/2016/09/build-your-first-docker-windows-server- 
container/。 一 一 译 者 注 ) 

注 2: Docker Toolbox 还 包含 Kitematic， 一 个 运行 Docker 容器 的 图 形 用 户 界面 。 我 不 会 在 本 书 中 介绍 
Kitematic， 但 它 还 是 很 值得 花 时 间 研究 的 ， 尤 其 是 刚 使 用 Docker 的 人 。 
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条 2 和 章 


。 本 书 的 范例 假设 Docker 运行 在 主机 上 。 如 果 你 使 用 Docker Toolbox， 这 个 假设 就 不 成 
立 了 ， 你 需要 把 提 到 LocatLhost 的 地 方 一 概 换 成 虚拟 机 的 IP 地 址 。 例 如 ; 


$ curL LocaLhost:5000 
需要 换 成 类 似 下 面 的 例子 : 
$ curl 192.168.59.103:5000 


虚拟 机 的 外 地 址 可 以 通过 docker-machine ip default 这 个 命令 获得 ， 因 此 我 们 还 可 以 稍 
微 做 点 自动 化 : 


$ curl $(docker-machine ip default):5000 


。 本 地 操作 系统 与 Docker 容器 之 间 的 映射 数据 卷 必须 同时 挂 载 于 虚拟 机 上 。Docker 
Toolbox 在 一 定 程度 上 可 以 自动 化 这 个 工作 ,但 如 果 在 使 用 Docker 数据 卷 时 遇 到 问题 ， 
你 得 记 住 这 一 点 。 

。 如 果 你 有 任何 特殊 要 求 ， 可 能 需要 修改 虚拟 机 的 配置 ，boot2docker 虚拟 机 里 的 /var/lib/ 
boot2dockerprofile 文件 包含 各 种 不 同 设 定 ， 包 括 Docker Engine 的 配置 。 通 过 修改 /var/ 
lib/boot2docker/bootlocal.sh 文件 ， 你 还 可 以 使 虚拟 机 初始 化 之 后 执行 你 自己 的 脚本 。 更 
多 详情 参见 boot2docker GitHub 仓库 (https://github.com/boot2docker/boot2docker)。 


如 果 你 跟 不 上 书 中 的 例子 ， 可 以 执行 docker-machine ssh default 来 直接 登入 虚拟 机 ， 然 
后 在 虚拟 机 里 执行 范例 的 命令 。 


Docker 的 试验 性 版 本 

除了 常用 的 稳定 版 本 ，Docker 还 维护 一 个 试验 性 版 本 (experimental build ) ， 
它 包含 最 新 的 为 测试 而 设 的 功能 。 由 于 这 些 功能 仍 在 讨论 和 开发 阶段 ， 在 进 
入 稳定 版 之 前 它们 还 有 可 能 会 大 幅度 更 改 。 试 验 版 应 只 用 于 正式 发 布 前 对 新 
功能 的 研究 ， 绝 不 能 用 于 真正 的 使 用 环境 。 

Linux 下 可 以 用 这 个 脚本 来 安装 试验 版 : 


$ curl -sSL https://experimental.docker.com/ | sh 
























































你 也 可 以 从 Docker 网 站 下 载 二 进 制 文件 。 请 注意 ， 试 验 版 每 天 晚上 都 会 更 新 ， 网 站 提供 
验证 码 以 便 确 认 下 载 文件 是 否 正 确 。 


2.3 快速 确认 


可 以 通过 执行 docker version 命令 得 知 一 切 是 否 已 正确 安装 并 且 可 用 。 你 应 该 会 看 到 类 似 
下 面 的 输出 结果 : 


$ docker version 


Client: 

Version: 1.8.1 

API version: 1.20 

Go version: go1.4.2 

Git commit: d12ea79 

Built: Thu Aug 13 02:35:49 UTC 2015 





0S/Arch : Linux/amd64 


Server : 

Version: 1.8.1 

API version: 1.20 

Go version: go1.4.2 

Git commit: d12ea79 

Built: Thu Aug 13 02:35:49 UTC 2015 
0S/Arch : Linux/amd64 




















如 果 结 果 相 符 ， 这 代表 你 已 经 准备 就 纤 ， 可 以 进入 下 一 章 了 。 但 如 果 你 的 结果 像 下 面 这 样 : 


$ docker version 











Client: 

Version: 1.8.1 

API version: 1.20 

Go version: go1.4.2 

Git commit: d12ea79 

Built: Thu Aug 13 02:35:49 UTC 2015 
OS/Arch: Linux/amd64 


Get http:///var/run/docker.sock/v1.20/version: dial unix /var/run/docker .sock: 
no such file or directory. 


* Are you trying to connect to a TLS-enabled daemon without TLS? 
* Is your docker daemon up and running? 


这 代表 Docker 守护 进程 并 未 运行 (或 客户 端 无 法 访问 它 )。 要 查 出 问题 所 在 ， 可 以 先 执行 
sudo docker daemon 来 手动 启动 Docker 守护 进程 。 它 或 许 能 给 出 一 些 信息 ， 指 出 哪 一 部 分 
出 错 ， 而 那些 信息 也 有 助 于 搜寻 答案 。( 请 注意 ， 这 个 建议 只 适用 于 Linux 主机 。 如 果 你 使 
用 的 是 Docker Toolbox 或 类 似 的 工具 ， 请 求助 于 相关 文档 。) 



































在 这 一 章 你 将 迈 出 使 用 Docker 的 第 一 步 。 本 章 先 从 启动 和 使 用 一 些 简 单 的 容器 开 感 

受 一 下 Docker 是 如 何 工作 的 ， 然 后 探讨 Dockerfile 构建 Docker 容 容器 se 0 
布 容器 提供 支持 的 Docker Registries (寄存 服务 )， 最 后 讲解 怎样 通过 容器 利用 持久 化 存储 
来 托管 一 个 键 值 存储 (key-value store)。 


‘一 /二 2 
3.1 运行 第 一 个 镜像 
尝试 执行 下 述 命 令 ， 测 试 Docker 的 安装 是 否 正 确 。 


$ docker run debian echo "Hello World" 


运行 这 个 命令 需要 花 点 时 间 ， 实 际 所 需 时 间 依 网 络 速 度 而 定 ， 但 最 终 你 应 看 到 类 似 下 面 的 
结果 。 


Unable to find image 'debian' locally 

debian:latest: The image you are pulling has been verified 
511136ea3c5a: Pull complete 

638fd9704285: Pull complete 

61f7f4f722fb: Pull complete 

Status: Downloaded newer image for debian:latest 

Hello World 


究竟 发 生 了 什么 ? 刚才 我 们 调用 了 docker run 命令 ， 它 的 功能 是 负责 启动 容器 。 其 中 的 
debian 参数 是 我 们 打算 使 用 的 镜像 名 称 ， 这 里 所 指 的 是 一 个 被 精简 过 的 Debian Linux 发 















































: 后 面 会 有 镜像 更 详细 的 定义 ， 现 在 暂且 把 它 当 成 是 容器 的 “模板 ”。 
2 2: 官方 正式 名 称 为 Debian GNU/Linux。 译 者 注 


广 
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行 版 。 输 出 结果 的 第 一 行 告诉 我 们 本 地 没有 Debian 镜像 。Docker 便 会 在 Docker Hub 进行 
在 线 搜索 ， 并 下 载 Debian 最 新 版 本 的 镜像 。 镜 像 下 载 后 ，Docker 会 将 它 转 成 容器 并 运行 ， 
然后 在 容器 中 执行 我 们 指定 的 命令 一 一 echo "Hello World"。 命 令 的 结果 则 显示 在 输出 内 
容 的 最 后 一 行 。 
如 果 再 次 执行 同一 命令 ， 那 就 无 需 再 下 载 镜 像 了 ， 容 器 会 立即 启动 。 而 整个 命令 的 运行 
时 间 大 概 只 需 一 秒 ， 要 是 想象 一 下 它 背 后 所 做 的 一 切 事 情 ， 就 会 觉得 这 个 速度 十 分 惊人 : 
Docker 部 署 并 启动 了 我 们 的 容器 ， 执 行 我 们 指定 的 echo 命令 ， 最 后 把 容器 关 掉 。 类 似 的 
工作 如 果 用 传统 的 虚拟 机 执行 ， 所 需 时 间 将 会 是 好 几 秒 ， 甚 至 是 好 几 分 钟 。 
我 们 可 以 用 以 下 命令 ， 请 求 Docker 提供 一 个 容器 中 的 shell。 


$ docker run -i -t debian /bin/bash 
root@622ac5689680:/# echo "Hello from Container-land!" 
Hello from Container-land! 

root@622ac5689680: /# exit 

exit 


这 样 你 就 可 以 进入 容器 中 的 命令 行 了 ， 和 使 用 ssh 进入 远程 机 器 很 相似 。 当 中 的 -i 和 -t 
参数 表示 我 们 想 要 一 个 附 有 tty 的 交互 会 话 (interactive session)，/bin/bash 参数 表示 你 想 
获得 一 个 bash shell。 当 你 退出 shell 时 ， 容 器 就 会 停止 一 一 主 进程 运行 多 久 ， 容 器 就 运行 
多 久 。 


3.2 基本 命令 


为 了 进一步 了 解 Docker， 我 们 可 以 启动 一 个 容器 ， 执 行 不 同 命令 和 行动 ， 并 观察 容器 会 
作出 什么 反应 。 首 先 ， 启 动 一 个 新 的 容器 ， 不 过 这 次 用 -h 参数 来 设 定 一 个 新 的 主机 名 


(hostname ) 。 
















































































$ docker run -h CONTAINER -i -t debian /bin/bash 
rootQCONTAINER : /# 


如 果 故 意 把 容器 弄 坏 会 怎样 呢 ? 


root@CONTAINER: /# mv /bin /basket 
root@CONTAINER: /# 1s 
bash: ls: command not found 


我 们 移动 了 /bin 目录 的 位 置 , 现在 这 个 容器 已 经 没 用 了 , 至少 暂时 是 这 样 的 。 在 删 掉 这 个 
容器 之 前 ， 先 来 看 看 ps、inspect 和 diff 会 显示 什么 结果 。 现 在 ， 打 开 一 个 新 的 终端 ( 同 
时 保持 原来 的 容器 运行 )， 并 在 主机 执行 docker ps。 运 行 结果 如 下 : 


CONTAINER ID IMAGE COMMAND 和 NAMES 
00723499fdbf debian "/bin/bash" Ce stupefied_ turing 


上 面 的 内 容 告 诉 我 们 目前 运行 中 的 容器 的 一 些 详细 信息 。 其 中 大 部 分 信息 应 无 需 多 作 解 





























注 3: 我 在 演示 的 时 候 一 般 不 用 mv 而 用 rm， 但 我 担心 有 人 会 不 小 心 在 自己 的 主机 上 运行 rm， 因此 这 里 我 还 
是 决定 使 用 mv。 
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绵 3 剖 


释 ， 不 过 ， 有 一 点 要 特别 注意 ， 那 就 是 Docker 为 容器 起 了 一 个 容易 看 懂 的 名 称 ， 这 里 叫 
作 “stupefied_turing”“, 在 本 机 上 可 以 用 它 来 识别 这 个 容器 。 我 们 可 以 把 容器 的 名 称 或 ID 
作为 docker inspect 命令 的 参数 ， 来 获取 更 多 有 关 某 个 容器 的 信息 : 


$ docker inspect stupefied_turing 
[ 
{ 


"Id" :"00723499fdbfe55c14565dc53d61452519deac72e18a8a6fd7b371ccb75f1d91" ， 


"Created": "2015-09-14T09:47:20.2064793Z " ， 
"Path": "/bin/bash", 
"Args": []， 
"State": { 
"Running": true， 


这 里 有 很 多 有 用 的 信息 ， 但 却 不 太 容 易 读 懂 。 我 们 可 以 用 grep 或 --format 参数 (需要 一 


个 Go 模板”) 来 过 滤 感 兴趣 的 信息 。 例 如 : 


$ docker inspect stupefied_turing | grep IPAddress 
"IPAddress": "172.17.0.4", 
"SecondaryIPAddresses": null, 

$ docker inspect --format {{.NetworkSettings.IPAddress}} 

172.17.0.4 


stupefied_turing 


这 两 行 命令 都 能 找 出 容器 的 卫 地址 。 现 在 来 看 看 另 一 个 命令 ，docker diff: 


ocker diff stupefied_turing 
.wh. .wh .plnk 

.wh. .wh.plnk/101.715484 
bin 

A /basket 

A /basket/bash 

A /basket/cat 

A /basket/chacl 

A /basket/chgrp 

A /basket/chmod 


$d 
C / 
A / 
D / 


可 以 看 到 ， 在 这 个 和 运行 中 的 容器 内 ， 有 哪些 文件 被 改动 过 ， 而 这 个 例子 中 ， 被 删除 的 文件 





有 /bin， 有 新 增 的 /basket 以 及 它 底下 的 文件 ， 还 有 一 些 存 储 引 





器 使 用 联合 文件 系统 (union file system，UFS)， 它 允许 多 个 文件 系统 以 层级 方式 挂 载 ， 并 
表现 为 一 个 单一 的 文件 系统 。 镜 像 的 文件 系统 以 只 读 方 式 挂 载 ， 











区 动 的 相关 文件 。Docker 容 





任何 对 运行 中 容器 的 改变 





则 只 会 发 生 在 它 之 上 的 可 读 写 层 。 因 此 ，Docker 只 需 查 看 最 上 男 





i 的 可 读 写 层 ， 便 可 找 出 曾 











对 运行 系统 所 作 的 所 有 改变 。 





























echo "Boo" ) 。 




















注 4: Docker 为 容器 生成 的 名 称 ， 都 是 由 一 个 随机 的 形容 词 ， 加 上 一 个 著名 的 科学 家 、 工 程 师 或 黑客 的 名 
字 所 组 成 。 除 了 自动 生成 ， 也 可 以 用 - -name 参数 来 指定 名 称 (例如 docker run --name boris debian 





注 5: 这 里 指 的 是 Go 编程 语言 的 模板 引擎 。 它 是 一 个 功能 完整 的 模板 引擎 ， 为 过 滤 和 筛选 数据 提供 了 很 


强大 的 灵活 性 和 能 力 。 在 Docker 网 站 可 以 找到 更 多 关于 怎样 使 用 inspect 的 信息 (https://docs.docker. 











com/reference/commandline/inspect/) 。 
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关于 这 个 容器 的 实验 即将 结束 ， 最 后 要 为 大 家 介绍 的 是 docker logs。 以 容器 名 称 作为 它 
的 参数 ， 就 能 得 知 这 个 容器 里 曾经 发 生 过 的 一 切 事情 : 





$ docker Logs stupefied_turing 
root@CONTRAINER: /# mv /bin /basket 
root@CONTRAINER: /# 1s 

bash: ls: command not found 


现在 ， 对 这 个 坏 掉 了 的 容器 的 实验 到 此 结束 ， 是 时 候 把 它 删 掉 了 。 首 先 ， 从 shell 退出 : 
rootQCONTRAINER : /# exit 
exit 


$ 


由 于 shell 是 唯一 一 个 在 容器 中 运行 的 进程 ， 容 器 也 会 同时 停止 。 这 时 候 如 果 执 行 docker 
ps， 你 会 发 现 已 经 没有 任何 正在 运行 的 容器 了 。 


不 过 ， 这 并 非 事实 的 全 部 。 如 果 键 入 docker ps -a， 它 会 列 出 所 有 容器 ， 包 括 已 经 停止 的 
容器 (官方 说 法 是 “已 退出 容器 ”，exited container) 。 已 退出 的 容器 可 以 用 docker start 
重启 (因为 我 们 已 经 把 之 前 那个 容器 的 路 径 弄 坏 了 ， 所 以 它 已 无 法 重启 )。 要 把 容器 删 掉 ， 
需要 使 用 docker rn 命 今 : 

















$ docker rm stupefied_turing 
stupefied_turing 


清理 已 停止 的 容器 
如 果 想 删除 所 有 已 停止 的 容器 ， 可 以 利用 docker ps -aq -f status=exited 
的 结果 ， 结 果 中 包含 所 有 已 停止 容器 的 ID。 例 如: 

$ docker rm -v $(docker ps -aq -f status=exited) 
这 个 命令 很 常用 ， 因 此 你 可 以 考虑 把 它 写 成 一 个 shell 脚本 或 定义 为 alias。 
请 注意 -v 参数 在 这 里 的 作用 ， 它 意味 着 当 所 有 由 Docker 管理 的 数据 卷 已 经 
没有 和 任何 容器 关联 时 ， 都 会 一 律 删除 。 
为 了 避免 已 停止 的 容器 的 数量 不 断 增加 ， 可 以 在 执行 docker run 的 时 候 加 上 
--rm 参数 ， 它 的 作用 是 当 容 器 退出 时 ， 容 器 和 相关 的 文件 系统 会 被 一 并 删 
掉 。 
































好 了 ， 现 在 来 看 怎样 创建 一 个 全 新 且 具 有 实用 价值 的 容器 ， 一 个 我 们 会 真正 保留 下 来 的 


容器 。" 我 们 打算 将 一 个 名 为 cowsay 的 应 用 “Docker 化 ”。 如 果 你 不 知道 什么 是 cowsay 的 
话 ， 待 会 儿 别 被 吓 倒 了 。 首 先 启动 一 个 容器 ， 并 安装 一 些 包 : 


























$ docker run -it --name cowsay --hostname cowsay debian bash 
root@cowsay:/# apt-get Update 


Reading package lists... Done 
root@cowsay:/# apt-get install -y cowsay fortune 








注 6: 虽然 我 说 有 实用 价值 ， 但 严格 来 说 还 不 至 于 太 有 用 。 
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root@cowsay:/# 


现在 就 来 试 一 试 吧 ! 


root@cowsay:/# /usr/games/fortune | /usr/games/cowsay 


/ Writing is easy; all you do is sit \ 
| staring at the blank sheet of paper | 
| until drops of blood form on your | 
| forehead. 


| 
| | 
\ -- Gene Fowler / 


非常 好 ， 一 切 顺 利 ， 把 容器 留 下 吧 。 "要 把 它 转 成 镜像 的 话 ， 执 行 docker commit 即 可 ， 无 
论 容 器 是 在 运行 中 还 是 在 停止 状态 都 可 以 。 执 行 docker commit 时 ， 你 需要 提供 的 参数 包 
括 容器 的 名 称 (“cowsay”)、 新 镜像 的 名 称 (“cowsayimage”)， 以 及 用 来 存放 镜像 的 仓库 
名 称 (“test”) : 


root@cowsay:/# exit 

exit 

$ docker commit cowsay test/cowsayimage 
d1795abbc71e14db39d24628ab335c58b0b45458060d1973af7acf113a0ce61d 








命令 的 返回 值 是 这 个 镜像 的 唯一 识别 码 (unique ID)。 现 在 ， 我 们 创建 了 一 个 能 随时 使 用 ， 
并 且 已 安装 cowsay 的 镜像 : 


$ docker run test/cowsayimage /usr/games/cowsay "Moo" 

















\ A 
\ (oo 
(CN )\A\ 
11 | 











太 棒 了 ! 不 过 其 实 还 有 一 些 问 题 有 待 解决 。 如 果 需 要 更 改 一 些 东 西 ， 那 么 我 们 还 得 手动 重 
复 刚 才 的 步骤 。 假 设 我 们 希望 基于 另 一 个 镜像 来 创建 我 们 的 容器 的 话 ， 也 必须 从 头 开始 。 
更 重要 的 是 ， 这 样 做 的 可 重复 性 (repeatable) 很 差 ， 创建 镜 像 的 步骤 很 难 与 他 人 分 享 ， 把 
步骤 重 做 也 不 是 件 易 事 ， 而 且 容 易 出 错 。 解 决 这 些 问 题 的 方法 就 是 利用 Dockerfile， 使 创 
建 镜像 的 过 程 全 部 自动 化 。 


















































注 7: 虽然 这 个 容器 只 能 用 来 玩 玩 而 已 ， 不 过 你 按 我 所 说 的 来 做 就 好 。 
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3.3 通过 Dockerfile 创 建 镜像 
简 而 言 之 ，Dockerfile 是 一 个 描述 如 何 创建 Docker 镜像 所 需 步 又 的 文本 文件 。 在 下 面 的 例 
子 中 ， 我 们 先 创建 一 个 文件 夹 和 文件 ; 


$ mkdir cowsay 
$ cd cowsay 
$ touch Dockerfile 


然后 把 下 面 的 内 容 放 入 Dockerfile: 


FROM debian:wheezy 








RUN apt-get update && apt-get install -y cowsay fortune 


FROM 指令 指定 初始 镜像 (和 之 前 一 样 ， 这 里 使 用 debian， 但 这 次 我 们 还 指定 使 用 
“wheezy” 版 本 )。 所 有 Dockerfile 一 定 要 有 FROM 指令 作为 第 一 个 非 注释 指令 。RUN 指令 指 
定 的 shell 命令 ， 是 将 要 在 镜像 里 执行 的 。 这 个 例子 中 ， 它 所 做 的 事情 其 实 和 之 前 一 样 ， 就 


是 安装 cowsay 和 fortune。 
现在 已 准备 好 生成 镜像 了 ， 在 同一 目录 下 执行 docker build 命令 : 


$ 1s 

Dockerfile 

$ docker build -t test/cowsay-dockerfile . 

Sending build context to Docker daemon 2.048 kB 

Step 0 : FROM debian:wheezy 
---> f6fab3b798be 

Step 1 : RUN apt-get update && apt-get install -y cowsay fortune 
---> Running in 29c7bd4b0adc 





























Setting up cowsay (3.03+dfsg1-4) ... 

---> dd66dc5a99bd 
Removing intermediate container 29c7bd4b0adc 
Successfully built dd66dc5a99bd 


创建 成 功 后 ， 就 可 以 与 之 前 一 样 运行 镜像 了 : 


$ docker run test/cowsay-dockerfile /usr/games/cowsay "Moo" 








镜像 、 容 器 和 联合 文件 系统 

为 了 使 大 家 明白 镜像 与 容器 之 间 的 关系 ， 我 必须 为 大 家 讲解 清楚 一 个 Docker 使 用 的 
核心 技术 ， 那 就 是 联合 文件 系统 (有 了 时 也 称 为 “联合 挂 载 ”)。 联 合 文件 系统 允许 多 个 
文件 系统 登 加 ， 并 表现 为 一 个 单一 的 文件 系统 。 文 件 夹 中 的 文件 可 以 来 自 多 个 文件 系 
统 ， 但 如 果 有 两 个 文件 的 路 径 完全 相同 ， 最 后 挂 载 的 文件 则 会 覆盖 较 早 前 挂 载 的 文 
件 。Docker 支持 多 种 不 同 的 联合 文件 系统 实现 ， 包 括 AUFS、Overlay、devicemapper、 
BTREFS 及 ZFS。 具 体 使 用 哪 种 实现 取决 于 你 所 用 的 系统 ， 可 以 通过 docker info 命令 ， 
查看 输出 结果 中 “Storage Driver” 的 值得 知 。 文 件 系 统 是 可 以 变更 的 ， 但 你 必须 清楚 
你 所 做 的 事 ， 以 及 它 所 带 来 的 好 处 和 坏处 ， 否 则 我 不 建议 你 这 样 做 。 
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Docker 的 镜像 由 多 个 不 同 的 “ 层 ”(layer) 组 成 ， 每 一 个 层 部 是 一 个 只 读 的 文件 系统 。 
Dockerfile 里 的 每 个 指令 都 会 创建 一 个 新 的 层 ， 而 这 个 层 将 位 于 前 一 个 层 之 上 。 当 一 个 
镜像 被 转化 成 一 个 容器 时 ( 壁 如 通过 docker run 或 docker create 命令 ) ，Docker 引 
学 会 在 镜像 之 上 添加 一 个 处 于 最 上 层 的 可 读 写 文件 系统 〈 同 时 还 会 对 一 些 配 置 进行 初 
始 化 ， 如 也’ 地 址 、 名 称 、ID， 以 及 资源 使 用 限制 等 )。 


由 于 不 必要 的 层 会 使 镜像 变 得 腑 肿 (而 且 AUFS 最 多 只 能 有 127 个 层 ) ， 你 会 发 现 很 多 
Dockerfile 都 把 多 个 UNIX 命令 放 在 同一 个 RUN 指令 中 ， 以 减少 层 的 数量 。 


容器 可 以 处 于 以 下 几 种 状态 之 一 : 已 创建 (created)、 重 启 中 (restarting)、 运 行 中 
(running)、 已 暂停 (paused) 和 已 退出 (exited)。“ 已 创建 ” 指 容器 已 通过 docker 
create 命令 初始 化 ， 但 未 曾 启 动 。 很 多 时 候 “已 退出 ”也 称 为 “已 停止 "， 指 容器 中 
没有 正在 运行 的 进程 〈 虽 然 “ 已 创建 ”状态 的 容器 也 没有 正在 运行 的 进程 ， 但 “已 退 
出 ”的 容器 至 少 启 动 过 一 次 )。 容 器 的 主 进程 退出 时 ， 容 器 也 会 退出 。 “已 退出 ”的 容 
器 可 以 用 docker start 命令 重启 。 已 停止 的 容器 不 等 于 一 个 镜像 ， 因 为 前 者 还 会 保留 
对 配置 、 元 数据 和 文件 系统 的 改动 。 重启 中 ”状态 实际 上 很 少 遇 见 ， 当 Docker 引擎 
尝试 重启 一 个 启动 失败 的 容器 时 ， 它 才 会 出 现 。 











通过 利用 Dockerfile 的 ENTRYPOINT 指令 ， 我 们 可 以 让 用 户 更 易于 使 用 这 个 镜像 。 
ENTRYPOINT 指令 让 我 们 指定 一 个 可 执行 文件 ， 同 时 还 能 处 理 传 给 docker run 的 参数 。 


在 Dockerfile 的 最 后 加 上 下 面 这 一 行 : 
ENTRYPOINT ["/usr/games/cowsay"] 
现在 再 次 生成 新 镜像 ， 以 后 使 用 这 个 新 镜像 时 再 也 不 需要 指定 cowsay 命令 了 : 


$ docker build -t test/cowsay-dockerfile . 





























$ docker run test/cowsay-dockerfile "Moo" 


这 样 确实 简单 多 了 。 可 是 ， 我 们 却 失去 了 将 容器 中 fortune 命令 的 输出 作为 cowsay 输入 的 
能 力 。 为 了 解决 这 个 问题 ， 我 们 可 以 把 ENTRYPOINT 指定 为 一 个 我 们 自己 的 脚本 ， 这 种 做 法 
在 创建 Dockerfile 时 是 很 常见 的 。 现 在 创建 一 个 新 文件 entrypoint.sh， 把 下 面 的 内 容 放 入 文 
件 中 ， 并 保存 至 Dockerfile 的 同一 目录 下 : 


#1!/bin/bash 
if [ $# -eq 0 ]; then 
/usr/games/fortune | /usr/games/cowsay 
else 
/usr/games/cowsay "$@" 
人 





























还 需要 用 chmod +x entrypoint.sh 把 文件 设 为 可 执行 。 








注 8: 编写 ENTRYPOINT 脚本 的 时 候 要 非常 小 心 ， 不 要 把 用 户 给 弄 糊 涂 了 一 一 请 记 住 任何 给 docker run 的 命 
令 都 会 传 给 脚本 ， 但 却 有 可 能 与 用 户 预期 的 行为 不 一 致 。 











癌 
四 
此 
a 








如 果 执 行 脚 本 的 时 候 没 有 提供 任何 参数 ， 那 么 脚本 只 会 把 fortune 的 输出 通过 管道 传递 给 
cowsay; 否则 ，cowsay 会 依据 提供 的 参数 执行 。 下 一 步 需 要 更 改 Dockerfile， 使 它 把 这 个 
脚本 放 进 镜像 中 ， 并 且 通 过 ENTRYPOINT 指令 调用 它 。 现 在 修改 Dockerfile 如 下 : 


FROM debian 








RUN apt-get Update && apt-get install -y cowsay fortune 
COPY entrypoint.sh / ©@ 


ENTRYPOINT ["/entrypoint.sh"] 


@ COPY 指令 所 做 的 仅仅 是 把 一 个 文件 从 主机 复制 到 镜像 的 文件 系统 ， 第 一 个 参数 是 主机 
的 文件 ， 第 二 个 参数 是 目标 路 径 ， 这 与 cp 命令 类 似 。 
现在 再 次 生成 一 个 新 镜像 ， 并 尝试 以 提供 参数 和 不 提供 参数 两 种 方式 运行 容器 : 


$ docker build -t test/cowsay-dockerfile . 
...Snip... 


$ docker run test/cowsay-dockerfile 

















/ The Last thing one knows in 
| constructing a work is what to put | 
| first. 
| 


\ -- Blaise Pascal 


As 


3.4 使 用 寄存 服务 


刚才 我 们 做 了 一 个 很 有 意思 的 镜像 ， 如 果 我 们 希望 与 别人 分 享 ， 该 怎么 办 呢 ? 在 本 章 最 初 
的 时 候 ， 我 们 运行 的 Debian 镜像 是 从 官方 的 Docker 镜像 寄存 服务 (registry)“， 即 Docker 
Hub 下 载 的 。 同 样 ， 我 们 可 以 上 传 自己 的 镜像 到 Docker Hub 供 他 人 下 载 及 使 用 。 


























注 9: Docker registry 一 词 目 前 还 没有 一 个 标准 翻译 ， 一 般 作 者 或 译 者 选择 不 翻译 。 翻 译 成 “寄存 服务 ”的 
想法 来 自 计 算 机 的 寄存 器 (register)。 一 一 译 者 注 











Docker Hub 可 以 通过 命令 行 或 网 页 访问 ， 你 可 以 使 用 Docker 的 search 命令 ， 或 者 在 http:// 
registry.hub.docker.com 上 搜索 已 有 的 镜像 。 








寡 存 服务 、 人 仓库、 镜像 和 标签 
镜像 的 储存 以 层级 设计 ， 并 采用 以 下 术语 。 
寄存 服务 (registry) 
负责 托管 和 发 布 镜像 的 服务 ， 默 认为 Docker Hub。 

仓库 (repository) 

一 组 相关 镜像 (通常 是 一 个 应 用 或 服务 的 不 同 版 本 ) 的 集合 。 
标签 (tag) 
仓库 中 镜像 的 识别 号 ， 由 英文 和 数字 组 成 (如 14.04 或 stable)， 


举 个 例子 ，docker puLL amouat/revealjs:latest 是 指 从 Docker Hub 的 amouat/revealjs 
仓库 下 载 标签 为 Latest 的 镜像 。 








为 了 能 上 传 我 们 的 cowsay 镜像 ， 必 须 在 Docker Hub 上 注册 一 个 账户 (通过 网 站 或 者 
docker login 命令 )。 注 册 完 成 后 ， 只 需 为 镜像 指定 一 个 合适 名 称 的 仓库 和 标签 ， 然 后 





月 











月 docker push 命令 上 传 到 Docker Hub。 不 过 在 上 传 之 前 ， 还 要 在 Dockerfile 内 加 入 


MAINTAINER 指令 ， 这 样 做 是 为 了 给 镜像 设 定 作 者 的 联系 信息 : 


账户 名 姑 





FROM debian 


MAINTAINER John Smith <johnQsmith .com> 
RUN apt-get update && apt-get install -y cowsay fortune 


COPY entrypoint.sh / 


ENTRYPOINT ["/entrypoint.sh"] 


现在 重新 生成 镜像 ， 然 后 上 传 到 Docker Hub。 这 一 次 ， 仓 库 名 称 必 须 用 你 的 Docker Hub 





决定 。 例 如 : 


$ docker build -t amouat/cowsay . 


$ docker push amouat/cowsay 
The push refers to a repository [docker.io/amouat/cowsay] (len: 1) 


e8728c722290: 
5427ac510fe6: 
4a63ead8b301: 
73805e6e9ac7: 
c90d655b99b2: 
30d39e59ffe2 : 
511136ea3c5a: 


Image 
Image 
Image 
Image 
Image 
Image 
Image 


successfully 
successfully 
successfully 
successfully 
successfully 
successfully 
successfully 


pushed 
pushed 
pushed 
pushed 
pushed 
pushed 
pushed 





F 头 (我 的 是 amouat)， 跟 着 是 /， 最 后 以 镜像 名 称 结束 ， 镜 像 名 称 可 以 随 你 的 喜好 


Latest: digest: sha256:bfd17b7c5977520211cecb202ad73c3cal4acde6878d9ffc81d95... 








| 
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由 于 我 没有 在 仓库 名 称 的 后 面 指定 标签 ， 它 将 会 自动 被 赋予 Latest 标签 。 








如 果 你 需要 指定 








使 用 特定 标签 名 称 的 话 ， 只 需 在 仓库 名 称 后 


看 加 上 冒号 ， 然 后 加 上 要 指定 的 标签 即 可 〈 例 











如 docker build -t amouat/cowsay:stable. ) 。 


上 传 完 毕 后 ， 任 何人 都 可 以 用 docker puLL 命令 下 载 你 的 镜像 (例如 docker pull amouat/cowsay ) 。 


私有 仓库 


当然 ， 你 可 能 不 希望 全 世界 的 人 都 能 够 访问 你 的 镜像 。 如 果 是 这 样 的 话 ， 你 有 两 个 选 
择 。 你 可 以 向 提供 私有 仓库 托管 服务 的 公司 付费 (可 以 是 Docker Hub 或 者 类 似 的 服务 ， 辟 如 
quay.io), 也 可 以 搭建 一 个 你 自己 的 寄存 服务 。 有 关 私 有 仓库 和 寄存 服务 的 信息 ， 参 见 第 7 章 。 











镜像 的 命名 空间 
服务 器 上 的 Docker 镜像 属于 三 种 命名 空间 的 其 中 之 一 ， 可 以 由 镜像 的 名 称 判断 它 属于 
哪 一 种 。 


如 果 镜 像 名 称 以 字符 串 和 /开头 ， 如 amouat/reveaLjs， 那 么 它 属于 “用 户 ” 命 
名 空间 (“user”namespace)。Docker Hub 上 的 这 些 镜 像 都 上 传 自 某 个 用 户 。 例 如 
amouat/revealjs 是 用 户 amouat 上 传 的 revealjs 镜像 。 任 何人 都 可 以 自行 上 传 公开 
的 镜像 到 Docker Hub， 上 面 已 经 有 了 数 千 个 镜像 ， 从 好 玩 但 无 聊 的 supertest2014/ 
nyan 到 实用 的 gLtiderLabs/Logspout， 不 一 而 足 。 
诸如 debian 或 ubuntu 的 名 称 , 不 包含 前 级 或 /， 属 于 “ 根 ” 命 名 空间 (“root” 
namespace)。 它 由 Docker 公司 所 控制 ， 为 一 些 常 用 的 软件 及 发 行 版 预 留 在 Docker 
Hub 上 发 布 的 官方 镜像 。 虽 然 这 个 命名 空间 由 Docker 管理 ， 但 实际 上 镜像 通常 由 
第 三 方 维护 ， 一 般 是 该 软件 的 供应 商 (例如 nginx 镜像 是 由 nginx 公司 维护 ) 。 大 部 
分 常用 的 软件 都 提供 官方 镜像 ， 当 你 需要 镜像 的 时 候 ， 应 该 先 从 官方 镜像 着 手 。 
以 主机 名 或 耳 开 头 的 名 称 ， 代 表 该 镜像 来 自 第 三 方 的 寄存 服务 (并非 Docker 
Hub)， 和 包括 公 司 或 组 织 自己 搭建 的 寄存 服务 ， 或 Docker Hub 的 竞争 对 手 ， 例 如 
quay.io。 举 个 例子 ，LocaLhost:5000/wordpress 是 指 本 地 的 寄存 服务 中 的 WordPress 
镜像 。 
上 述 的 命名 空间 规则 确保 用 户 能 清楚 辨别 镜像 的 来 源 ; 如 果 你 使 用 的 镜像 名 叫 debian， 
你 就 知道 它 是 Docker Hub 上 的 官方 镜像 ， 而 非 来 自 其 他 寄存 服务 的 debian 版 本 。 











3.5 “使 用 Redis 官 方 镜像 


我 得 承认 ， 你 能 从 cowsay 镜像 中 学 到 的 东西 不 会 太 多 。 那 就 试 试 怎样 使 用 官方 
Docker 仓库 中 的 镜像 吧 。 接 下 来 看 一 下 Redis 官方 镜像 ， 它 是 一 个 很 流行 的 键 值 存储 


(key-value store ) 。 











官方 仓库 

如 果 你 在 Docker Hub 上 搜索 一 个 很 流行 的 应 用 程序 或 服务 ， 例 如 Java 编程 
语言 或 PostgreSQL 数据 库 ， 你 会 发 现 返回 的 结果 有 好 几 百 个 。"” 官方 Docker 
仓库 的 目的 是 提供 确保 质量 和 来 源 的 镜像 ， 其 中 的 镜像 都 由 官方 负责 把 关 ， 
所 以 尽 可 能 将 其 作为 你 的 首选 。 搜 索 的 时 候 它 们 应 该 会 显示 在 返回 结果 的 最 
前 面 ， 并 标识 为 官方 镜像 。 

当 你 从 官方 仓库 下 载 时 ， 镜 像 名称 不 会 有 用 户 名 的 部 分 ， 或 者 会 设 为 Library 
(例如 MongoDB 仓库 同时 由 mongo 和 tibrary/mongo 提供 )。 你 还 会 看 到 消息 
说 “你 正 获 取 的 镜像 已 被 核实 ”(The image you are pulling has been verified ) ， 
表示 Docker 守护 进程 已 经 验证 过 镜像 的 校 验 和 ， 因 此 已 核实 它 的 来 源 。 





























首先 获取 镜像 : 


$ docker pull redis 
Using default tag: latest 
latest: Pulling from library/redis 


d990a769a35e: Pull complete 

8656a511ce9c: Pull complete 

f7022ac152fb: Pull complete 

8e84d9ce7554: Pull complete 

c9e5dd2a9302: Pull complete 

27b967cdd519: Pull complete 

3024bf5093a1: Pull complete 

e6a9eb403efb: Pull complete 

C3532a4c89bc: Pull complete 

35fc08946add: Pull complete 

d586de7d17cd: Pull complete 

1f677d77a8fa: Pull complete 

ed09b32b8ab1: Pull complete 

54647d88bc19: Pull complete 

2f2578ff984f: Pull complete 

ba249489d0b6: Already exists 

19de96c112fc: ALready exists 

Library/redis:Latest: The image you are pulling has been verified. 
Important: image verification is a tech preview feature and should not be re... 
Digest: sha256:3c3e4a25690f9f82a2alec6d4f577dc2c81563c1lccd52efdf4903ccdd26cada3 
Status: Downloaded newer image for redis:latest 


启动 Redis 容器 ， 但 这 次 需要 用 -d 参数 : 


$ docker run --name myredis -d redis 
585b3d36e7cec8d06f768f6eb199a29feb8b2e5622884452633772169695b94a 


-d 参数 让 容器 在 后 台 运 行 。Docker 照常 启动 容器 ， 不 一 样 的 是 ， 这 次 不 会 把 容器 的 输出 打 
印 出 来 ， 而 只 会 返回 容器 ID ， 然 后 就 会 退出 。 容 器 仍然 在 后 台 运 行 ， 你 也 可 以 通过 docker 
logs 命令 查看 容器 的 输出 。 














注 10: 编写 本 书 的 时 候 ， 有 1350 个 PostgreSQL 镜像 。 














加 
四 


好 了 ， 但 我 们 怎样 来 用 它 ? 显然 需要 通过 某 种 方法 与 数据 库 进 行 连接 。 但 我 们 没有 应 用 程 
序 来 担当 客户 端的 角色 ， 因 此 干脆 利用 redis-cli 工具 来 完成 任务 。 我 们 可 以 在 主机 上 安 
装 redis-cli， 但 如 果 启 动 一 个 新 的 容器 来 运行 redis-cli， 并 把 这 两 个 容器 连接 上 ， 这 样 
做 不 但 更 简单 ， 而 且 还 更 有 意思 : 
$ docker run --rm -it --Link myredis:redis redis /bin/bash 
root@ca38735c5747: /data# redis-cli -h redis -p 6379 
redis:6379> ping 
PONG 
redis:6379> set "abc" 123 
OK 
redis:6379> get "abc" 
"123" 
redis:6379> exit 
root@ca38735c5747: /data# exit 
exit 
刚才 我 们 把 两 个 容器 连 在 了 一 起 ， 并 只 花 了 儿 秒 钟 就 已 经 在 Redis 中 添加 了 数据 ， 既 漂亮 
又 简洁 。 但 这 是 怎么 做 到 的 ? 
Docker 中 网 络 连接 的 改变 
这 一 章 及 本 书 其 他 部 分 均 使 用 --Link 命令 来 把 容器 连接 起 来 。 但 在 不 久 的 将 
来 ，Docker 将 会 改变 网 络 连接 的 做 法 ， 连 接 容器 会 以 更 易于 表述 的 “发 布 服 
务 ”(publish services) 方式 取而代之 。 不 过 ， 连 接 方式 在 可 预见 的 时 期 内 仍 
会 支持 ， 本 书 的 范例 在 不 修改 的 情况 下 应 能 照常 工作 。 
如 果 想 要 进一步 了 解 这 个 即将 发 生 的 变化 ， 参 见 11.4 节 。 









































能 将 两 个 容器 神奇 地 连接 在 一 起 ， 是 通过 docker run 命令 的 --Link myredis:redis 参数 实 
现 的 。 这 个 参数 告诉 Docker 把 新 容器 与 现存 的 “myredis” 容 器 连接 起 来 ， 并 且 在 新 容器 
中 以 “redis” 作 为 “myredis” 容 器 的 主机 名 。 为 了 实现 这 一 点 ，Docker 会 在 新 容器 中 的 / 
etc/hosts 里 添加 一 个 新 条 目 ， 把 “redis” 指 向 “myredis” 的 全 地 址 。 这 样 就 能 够 在 执行 
redis-cli 的 时 候 直 接 使 用 “redis” 作 为 主机 名 ， 而 不 需 想 办 法 找 出 或 传递 Redis 容器 的 卫 
地 址 给 redis-cli。 


然后 ， 执 行 Redis 的 ping 命令 ， 核 实 我 们 已 连 上 Redis 服务 器 ， 然 后 才 用 set 和 put 命令 
添加 和 获取 数据 。 


目前 为 止 ， 所 有 事情 看 起 来 都 还 不 错 ， pM 我 们 怎样 才能 做 数据 的 持久 保存 和 备 
份 ? 为 此 ， 我 们 不 会 使 用 标准 的 容器 文件 系统 ， 而 是 需要 一 个 能 够 让 容器 与 主机 ， 或 容器 
与 其 他 容器 之 间 轻 松 共享 数据 的 方式 。Docker 通过 数据 着 (volume) 的 概念 提供 了 这 种 
方式 。 数 据 卷 是 直接 在 主机 挂 载 的 文件 或 目录 ， 不 属于 常规 联合 文件 系统 的 一 部 分 。 这 意 
味 着 它们 允许 与 其 人 容器 共享 ， 而 任何 修改 都 会 直接 发 生 在 主机 的 文件 系统 里 。 声 明 一 个 
目录 为 数据 卷 有 两 种 方法 ， 第 一 种 是 在 Dockerfile 里 使 用 VOLUME 指令， 第 二 种 是 在 执行 
docker run 的 时 候 使 用 -v 参数 。 下 列 的 Dockerfile 指令 以 及 docker run 命令 ， 都 会 在 容器 
中 的 /data 创建 一 个 数据 卷 : 


VOLUME /data 
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以 及 
$ docker run -v /data test/webserver 


默认 情况 下 ， 目 录 或 文件 会 挂 载 在 主机 的 Docker 安装 目录 之 下 (通常 是 /var/lib/docker/)。 
执行 docker run 命令 的 时 候 可 以 指定 用 于 挂 载 的 主机 目录 (例如 docker run -d -v /host/ 
dir:/container/dir test/webserver)。 出 于 可 移植 性 和 安全 方面 的 考虑 ， 主 机 目录 是 无 法 
在 Dockerfile 中 指定 的 〈 该 文件 或 目录 在 其 他 系统 中 可 能 不 存在 ， 而 容器 不 应 在 未 获得 明 
确 授权 的 情况 下 挂 载 敏感 文件 ， 璧 如 etc/passwd)。 
那么 ， 我 们 怎样 用 它 为 Redis 容器 做 备份 呢 ? 假设 myredis 容器 还 在 运行 ， 下 面 我 将 展示 
一 种 备份 方法 : 


$ docker run --rm -it --Link myredis:redis redis /bin/bash 

root@09alc4abf81f:/data# redis-cli -h redis -p 6379 

redis:6379> set "persistence" "test" 

OK 

redis:6379> save 

OK 

redis:6379> exit 

root@09alc4abf81f: /data# exit 

exit 

$ docker run --rm --volumes-from myredis -v $(pwd)/backup:/backup \ 
debian cp /data/dump.rdb /backup/ 

$ Ls backup 

dump .rdb 


注意 这 里 用 -v 参数 挂 载 一 个 主机 上 已 知 的 目录 ， 并 通过 --volumes-fron 将 新 容器 连接 至 
Redis 数据 库 目 录 。 


myredis 容器 使 用 完毕 后 ， 可 以 把 它 停止 并 删 掉 : 


$ docker stop myredis 
myredis 
$ docker rm -v myredis 
myredis 


所 有 剩 下 的 容器 都 可 以 这 样 删 掉 : 


$ docker rm $(docker ps -aq) 
45e404caa093 
e4b31d0550cd 
7a24491027fc 










































































3.6 ”总结 


本 章 关 于 Docker 的 入 门 知识 至 此 就 告 一 段落 了 。 这 有 点 走马 观 花 ， 但 现在 你 至 少 对 创建 
和 运行 容器 有 了 信心 。 下 一 章 会 带 大 家 深入 了 解 Docker 的 架构 ， 以 及 一 些 基 本 概念 。 
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Docker 基 本 概念 


本 章 将 会 更 详细 地 讲解 Docker 的 基本 概念 。 首 先 来 看 一 下 Docker 总 


总 体 的 系统 架构 ， 包 括 


它 所 利用 的 相关 技术 。 之 后 会 对 儿 个 概念 ， 包 括 Docker 镜像 的 构建 、 容 器 之 间 的 相互 连 
接 ， 以 及 如 何 处 理 数据 卷 中 的 内 容 作 更 深 深入 的 探讨 最 后 ， 本 章 会 给 出 常用 Docker 命令 


的 概览 。 
这 一 章 包 含 很 多 参考 材料 ， 因 此 你 可 以 选择 只 看 重点 ， 
章 ， 等 需要 的 时 候 再 回来 查看 。 

4.1 Docker 系统 架 构 


为 了 理 





























Docker 系统 底层 的 组 成 有 一 个 大 致 的 了 解 将 会 非常 有 用 。 
图 4-1 展示 了 一 个 Docker 系统 的 主要 组 成 部 分 。 
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交 由 主机 的 操作 系统 负责 执行 。 





然后 直接 进入 第 5 


解 怎 样 才 能 够 尽量 发 挥 Docker 的 能 力 ， 以 及 了 解 Docker 的 一 些 不 寻常 的 行为 ， 对 





图 的 中 央 是 Docker 守护 进程 ， 它 负责 容器 的 创建 、 运 行 和 监控 ， 还 外 Pepe 
bi, 容器 和 镜像 都 在 图 的 右边 。Docker 守护 进程 通过 docker Pie 启动 ， 


mR 客户 端 在 图 的 左边 ， 它 通过 HTTP 与 Docker 守护 进程 通信 。 默 认 使 用 Unix 域 














套 接 字 (Unix domain socket) 实现 ， 但 为 了 支持 远程 客户 端 也 可 

















以 使 用 TCP socket。 如 


有 果 该 套 接 字 由 systemd 管理 的 话 ， 也 可 以 使 用 文件 描述 符 。 由 于 所 有 通信 都 必须 通过 





HTTP， 因 此 与 远程 的 Docker 守护 进程 连接 并 非 难事 ， 为 一 个 编程 语言 开发 一 套 接口 库 











会 很 简单 [但 由 于 不 同 功 能 的 实现 方式 ， 也 会 存在 个 别 问题 ， 例 如 Dockerfile 需要 构 
建 环境 的 上 下 文 (build context) ， 这 个 问题 在 4.2.1 节 中 会 详细 解释 ]。 与 守护 进程 通信 
的 API 都 有 清晰 的 定义 和 详细 文档 ， 使 得 开发 者 可 以 利用 这 套 API 来 开发 与 守护 进程 
直接 通信 的 程序 ， 而 无 需 通过 Docker 客户 端 。 值 得 一 提 的 是 ，Docker 客户 端 和 守护 进 
程 是 由 同一 个 二 进 制 文件 发 布 的 。 

。 Docker 寄存 服务 负责 储存 和 发 布 镜 像 。 默 认 的 寄存 服务 为 Docker Hub， 它 托管 了 数 以 
千 计 的 公共 镜像 ， 以 及 由 其 负责 把 关 的 “官方 ”镜像 。 许 多 组 织 会 搭建 自己 的 寄存 服务 
器 ， 用 于 储存 商业 用 途 和 机 密 的 镜像 ， 这 样 做 还 可 以 节省 从 互联 网 下 载 镜像 所 良 费 的 
时 间 。 如 果 你 有 意 运 营 自 己 的 寄存 服务 ， 请 参考 7.4.1 节 的 内 容 。 当 Docker 守护 进程 
收 到 docker pull 请 求 之 后 ， 便 会 从 寄存 服务 器 下 载 镜像 。 而 当 遇 到 docker run 请 求 或 
Dockerfile 中 的 FROM 指令 时 ， 假 如 本 地 没有 它们 要 求 的 镜像 存在 ，Docker 守护 进程 也 会 
自动 从 服务 器 下 载 镜 像 。 


























镜像 
debian:wheezy 
ubuntu:14.04 
redis:2.6 





容器 
clever_bell 
sad_cori 
evil_colden 








图 4-1: Docker 主要 组 成 部 分 的 总 体 概览 


4.1.1 底层 技术 

Docker 守护 进程 通过 一 个 “执行 驱动 程序 ”(execution driver) 来 创建 容器 。 上 默认 情况 下 ， 

它 是 Docker 项 目 自行 开发 的 runc 驱动 程序 ， 但 仍 支持 旧 有 的 LXC。runc 与 下 面 提 到 的 内 

核 功 能 密 不 可 分 。 

。 cgroups， 人 负责 管理 容器 使 用 的 资源 (例如 CPU 和 内 存 的 使 用 )。 它 还 负责 冻结 和 解冻 
容器 这 两 个 docker pause 命令 所 需 的 功能 。 

。 Namespaces (命名 空间 )， 人 负责 容器 之 间 的 隔离 ， 它 确保 系统 的 其 他 部 分 与 容器 的 文件 
系统 、 主 机 名 、 用 户 、 网 络 和 进程 都 是 分 开 的 。 

Libcontainer 还 支持 SElinux 和 AppArmor， 它 们 可 以 给 容器 更 稳固 的 安全 保障 。 第 13 章 会 

有 更 详细 的 介绍 。 

另 一 个 主要 的 Docker 底层 技术 就 是 联合 文件 系统 (Union File System，UFS)， 它 负责 储 

存 容器 的 镜像 层 。UFS 由 数 个 存储 驱动 中 的 其 中 之 一 提供 ， 可 以 是 AUFS、devicemapper、 

BTRFS 或 Overlay。 请 参考 之 前 3.3 证 “镜像 、 容 器 和 联合 文件 系统 ”中 有 关 UFS 的 论述 。 
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4.1.2 ”周边 技术 

Docker 引擎 和 Docker Hub 并 不 足以 构成 一 套 完整 的 容器 方案 。 大 部 分 用 户 发 现 它们 还 需 
要 一 些 支 撑 服 务 和 软件 ， 诸 如 集群 管理 、 服 务 发 现 (service discovery) 工具 和 更 先进 的 联 
网 功能 。 正 如 在 1.4 节 中 所 描述 的 ，Docker 公司 计划 打造 一 个 完整 的 “ 开 箱 即 用 ”方案 ， 
它 除 了 包括 上 述 功能 ， 还 允许 用 户 将 默认 组 件 轻松 地 替换 成 第 三 方 开发 的 组 件 。 “可 替换 
电池 ”(swappable battery) 这 一 策略 主要 是 指 API 层 ， 它 使 Docker 引擎 的 功能 可 以 被 其 他 
组 件 直接 调用 ， 但 也 可 以 理解 为 一 些 已 打包 成 独立 二 进 制 档 的 Docker 辅助 技术 ， 可 以 很 
轻松 地 替换 为 第 三 方 组 件 。 

以 下 是 Docker 目前 提供 的 辅助 技术 。 


Swarm 


Docker 的 集群 方案 。Swarm 可 以 把 多 个 Docker 主机 组 合 起 来 ， 使 其 资源 能 整合 为 一 
体 。 第 12 章 会 有 更 详细 的 介绍 。 


Compose 


Docker Compose 是 负责 构建 和 运行 由 多 个 Docker 容器 所 组 成 的 应 用 程序 的 工具 。 它 主 
要 用 于 开发 和 测试 ， 而 不 太 用 于 生产 环境 。 在 5.2 节 中 会 有 更 深入 的 介绍 。 


Machine 


Docker Machine 可 以 在 本 地 或 远程 资源 上 安装 和 配置 Docker 主机 。Machine 还 能 配置 
Docker 客户 端 ， 使 用 户 能 轻松 地 在 不 同 的 环境 之 间 切 换 。 相 关 的 例子 见 第 9 章 。 


Kitematic 












































Kitematic 是 一 个 Mac OS 和 Windows 上 的 GUI， 用 于 运行 和 管理 Docker 容器 。 
Docker Trusted Registry 


Docker 的 一 个 企业 内 部 方案 ， 用 于 储存 和 管理 Docker 镜像 。 实 际 上 它 是 个 Docker Hub 
的 本 地 版 本 ， 能 够 与 企业 或 组 织 现 有 的 安全 基础 架构 集成 ， 并 能 帮助 他 们 遵守 有 关 数 
据 存储 和 安全 方面 的 法 规 。 其 特点 包括 指标 (metrics)、 基 于 角色 的 权限 控制 (Role- 
Based Access Control，RBAC) 和 日 志 ， 它 们 全 部 通过 一 个 管理 控制 台 管理 。 这 是 
Docker 公司 目前 唯一 的 非 开 源 产品 。 


现在 已 有 大 量 基于 或 配合 Docker 使 用 的 第 三 方 服务 和 应 用 。 下 面 列 出 在 不 同 领域 中 出 现 

的 一 些 解 决 方案 。 

网 络 连 接 
要 把 不 同 主机 上 的 容器 连接 起 来 并 不 简单 ， 解 决 方法 也 是 五 花 八 门 。 现 在 ， 这 个 领域 
中 已 经 出 现 了 一 些 解 决 方案 ， 包 括 Weave (http://weave.works/net/) 和 Project Calico 
(http:Wwww.projectcalico.org/) 。 而 且 在 不 和 久 的 将 来 ，Docker 也 将 实现 一 个 集成 的 联网 方 
案 ， 名 为 Overlay。 通过 Docker 的 联网 插件 架构 ， 用 户 可 以 用 其 他 方案 取代 Overlay 驱 
动 程序 。 




































































服务 发 现 
当 Docker 容器 启动 时 ， 它 需要 通过 某 种 方法 来 找 出 与 之 通信 的 服务 ， 而 这 些 服务 一 般 
也 是 运行 在 容器 内 的 。 容 器 的 卫 地址 是 动态 分 配 的 ， 因 此 在 大 型 系统 中 要 解决 这 个 问 
题 并 非 易 事 。 这 方面 的 解决 方案 包括 Consul (https://consul.io/)、Registrator (https:// 
github.com/gliderlabs/registrator) 、SkyDNS (https://github.com/skynetservices/skydns/) ， 
以 及 etcd (https:Wgithub.comy/coreos/etcd ) 。 


服务 编排 及 集群 管理 


在 大 型 的 容器 部 署 上 ， 监 控 和 管理 系统 的 工具 必 不 可 少 。 对 每 个 新 的 容器 ， 都 需要 安 
排 把 它 放 置 在 哪 台 主机 上 ， 并 对 它 实施 监控 和 保持 更 新 。 系 统 需 要 对 故障 的 出 现 或 负 
载 的 改变 作出 反应 ， 实 际 情况 下 可 能 是 搬迁 、 启 动 或 停止 容器 。 这 方面 已 有 数 个 解决 
方案 互相 竞争 ， 包 括 来 自 谷 歌 的 Kubernetes (http://kubernetes.io/)、Marathon (https:// 
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github.com/mesosphere/marathon) [来 自 Mesos (https://mesos.apache.org/) 的 由 
CoreOS 的 Fleet (https://github.com/coreos/fleet)， 以 及 Docker 自家 的 Swarm。 


这 些 话题 都 会 在 第 三 部 分 作 深 入 的 介绍 。 值 得 一 提 的 是 ，Docker Trusted Registry 也 有 替代 
方案 ， 包 括 CoreOS 的 Enterprise Registry (https://coreos.com/products/enterprise-registry/) 
和 来 自 JFrog 的 Artifactory (http://www.jfrog.com/open-source/#0s-arti) 。 


除了 前 面 提 到 的 联网 驱动 插件 ，Docker 也 支持 数据 卷 质 件 (volume plugin)， 用 于 与 其 他 
存储 系统 集成 。 比 较 音 名 的 数据 卷 插件 有 Flocker (https://github.com/ClusterHQ/flocker)， 
一 个 多 主机 数据 管理 及 迁移 工具 ， 以 及 用 于 分 布 式 存储 的 GlusterFS (https://github.com/ 
calavera/docker-volume-glusterfs)。 更 多 有 关 插 件 框架 的 信息 可 以 在 Docker 网 站 (https:// 
docs.docker.com/engine/extend/legacy_plugins/) 找到 。 


容器 的 兴起 附带 引发 了 一 个 很 有 趣 的 现象 ， 那 就 是 诞生 了 一 些 专门 用 于 托管 容器 的 操作 系 
统 。 虽 然 Docker 在 大 部 分 现今 的 Linux 发 行 版 上 都 运行 得 很 好 ， 例 如 在 Ubuntu 和 红 帽 上 ， 
但 还 是 出 现 了 一 些 新 的 发 行 版 项 目 ， 它 们 只 考虑 需要 运行 容器 (或 容器 及 虚拟 机 ) 的 环 
境 ,， 希望 做 出 体积 小 而 容易 管理 的 发 行 版 ， 尤 其 是 针对 数据 中 心 或 集群 的 使 用 场景 。 这 方 
面 的 例子 有 Project Atomic (http://www.projectatomic.io/)、CoreOS (https://coreos.com/) 和 
RancherOS (http:/rancher.comy/rancher-os/) 。 




































































4.1.3 ”Docker 托 管 


第 9 章 将 会 对 Docker 托管 服务 作 更 详细 的 介绍 ， 现 在 我 们 先 初步 了 解 有 哪些 托管 服务 可 
供 选 择 。 很 多 传统 的 云 服务 供应 商 ， 包 括 亚马逊 、 谷 歌 和 Digital Ocean， 都 已 经 提供 了 某 
种 程度 的 Docker 服务 。 谷 歌 的 Container Engine 可 能 是 其 中 最 有 趣 的 一 个 ， 因 为 它 是 直接 
在 Kubernetes 上 构造 。 当 然 ， 即 使 一 个 云 服务 供应 商 没 有 提供 专门 的 Docker 支持 ， 一 般 
也 可 以 部 署 虚拟 机 ， 并 在 其 上 运行 Docker 容器 。 

Joyent 也 在 这 方面 提供 了 自己 的 容器 方案 ， 它 在 SmartOS 之 上 构建 ， 叫 作 Triton。 它 利用 
自己 的 容器 和 Linux 模拟 技术 实现 了 Docker API， 使 得 Joyent 成 功 创造 了 一 个 可 以 与 普通 
Docker 客户 端 通信 的 公共 云 平 台 。 重 要 的 是 ，Joyent 认为 它 的 容器 实现 足够 安全 ， 可 以 直 
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接 运行 于 裸 机 之 上 ， 因 此 没有 必要 使 用 虚拟 机 ， 这 意味 着 在 效能 方面 (尤其 是 输入 /输出 ) 
能 得 到 大 大 提升 。 

另外 ， 还 有 一 些 PaaS 平台 项 目 是 在 Docker 的 基础 之 上 建立 的 ， 例 如 Deis (http://deis.io/)、 
Flynn (https://flynn.io/) 和 Paz (http:/paz.sh ) 。 


4.2 镜像 是 如 何 生 成 的 


在 3.3 节 中 已 经 介绍 过 ， 创 建新 镜像 的 主要 方法 是 通过 Dockerfile 和 docker build 命令 。 
这 一 节 将 会 更 深入 了 解 它 们 背后 的 事情 ， 最 后 还 会 介绍 Dockerfile 各 指令 的 用 法 。 学 会 
build 命令 的 工作 原理 将 会 非常 有 用 ， 因 为 它 的 行为 有 时 候 确 实 出 乎 意料 。 


4.2.1 构建 环境 的 上 下 文 

docker build 命令 需要 Dockerfile 和 构建 环境 的 上 下 文 (build context， 可 能 是 空 的 )。 上 
下 文 是 一 组 本 地 文件 和 目录 ， 它 可 以 被 Dockerfile 的 ADD 或 COPY 指令 所 引用 ， 通 常 以 目 
录 路 径 的 形式 指定 。 举 个 例子 ， 我 们 在 3.3 节 中 曾经 使 用 过 命令 docker build -t test/ 
cowsay-dockerfile .， 它 的 上 下 文 便 是 “.”， 即 当前 目录 。 该 目录 下 的 所 有 文件 和 目录 就 
形成 了 构建 环境 的 上 下 文 ， 并 在 生成 镜像 的 过 程 中 传递 给 Docker 守护 进程 。 
假如 没有 指定 上 下 文 (如 果 只 是 提供 了 Dockerfile 的 URL， 或 者 Dockerfile 的 内 容 是 通过 
管道 从 STDIN 读 进 来 )， 上 下 文 将 被 视 为 空 的 。 

不 要 使 用 “/” 作 为 构建 环境 的 上 下 文 

由 于 构建 环境 上 下 文 会 被 放 进 一 个 tar 文件 ， 然 后 传 给 Docker 守护 进程 ， 因 
此 你 绝对 不 会 希望 使 用 一 个 含有 大 量 文件 的 目录 。 因 为 客户 端 需 要 把 所 有 文 
件 归 档 ， 然 后 传 给 守护 进程 ， 所 以 像 /home/user、downloads 或 / 之 类 的 目录 
都 需要 花费 非常 多 的 时 间 来 处 理 。 







































































如 果 提 供 的 URL 以 http 或 https 开头 ， 它 会 被 假定 为 直接 指向 Dockerfile 的 链接 。 这 样 
做 其 实 没 什么 用 ， 因 为 该 Dockerfile 没有 与 任何 上 下 文 关联 (而且 尚未 支持 指向 归档 的 
链接 ) 。 
git 仓库 也 可 以 作为 构建 环境 的 上 下 文 。 在 这 种 情况 下 ，Docker 客户 端 会 把 仓库 和 任何 子 
模 组 (submodule) 复制 (clone) 至 一 个 临时 目录 ， 并 把 它 传 给 Docker 守护 进程 作为 构建 
环境 的 上 下 文 。 如 果 路 径 以 github.com/、git@ 或 git/ 开头 ，Docker 便 会 将 路 径 视 为 git 
仓库 。 一 般 而 言 ， 我 不 建议 使 用 这 种 方法 ， 比 较 好 的 做 法 是 手动 把 仓库 复制 到 本 地 ， 这 样 
做 更 灵活 ， 而 且 不 容易 引起 混淆 。 
Docker 客户 端 还 可 以 从 STDIN 输入 构建 环境 的 上 下 文 ， 方法 是 在 提供 上 下 文 的 参数 处 使 用 
”。 该 输入 可 以 是 不 包含 上 下 文 的 Dockerfile (例如 docker build - < Dockerfile) ， 或 者 是 
一 个 包含 上 下 文 及 Dockerfile 的 归档 文件 (例如 docker build - < context.tar.gz)。 归 档 文件 
可 以 是 tar.gz、xz 或 bzip2 格式 。 
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上 下 文中 Dockerfile 的 位 置 可 以 用 -f 参数 指定 (例如 docker build -f dockerfiles/ 
Dockerfile.debug .)。 若 未 指定 ，Docker 则 会 尝试 在 上 下 文 的 根 目录 寻找 名 为 Dockerfile 
的 文件 。 
使 用 .dockerignore 文件 
为 了 从 构建 环境 的 上 下 文中 排除 不 必要 的 文件 ， 你 可 以 使 用 .dockerignore 文 
件 。 该 文件 包含 要 排除 的 文件 名 ,文件 名 以 换行 符 分 隔 。 可 以 使 用 * 和 ? 通 
配 符 。 举 个 例子 ， 下 面 是 我 们 的 .dockerignore 文件 : 
.git ©@ 
*/.git @ 
*/*/.git © 
*.sw? @ 
@ 上 下 文 的 根 目 录 下 的 .git 文件 或 目录 会 被 排除 ， 但 允许 它 出 现在 子 目录 中 
( 即 .git 会 被 排除 ， 但 dirl/.git 不 会 )。 
名 只 排除 第 一 层 目 录 下 的 .git 文件 或 目录 ( 即 dirl/.git 会 被 排除 ， 但 .git 和 
dirl/dir2/.git 不 会 ) 。 
@ 只 排除 第 二 层 目 录 下 的 .git 文件 或 目录 ( 即 dirldir2/.git 会 被 排除 ， 
但 .git 和 dirl/.git 不 会 )。 
@ test.swp、test.swo 和 bla.swp 会 被 排除 ， 但 dirl/test.swp 不 会 。 
此 处 不 支持 完整 的 正则 表达 式 ， 例 如 [A-Z]*。 
这 本 书写 作 的 时 候 ， 和 暂时 还 没有 办 法 同时 匹配 所 有 子 目 录 下 的 文件 (例如 ， 
你 不 能 只 用 一 个 正则 表达 式 来 同时 忽略 /test.tmp 和 /dirl/testtmp ) 。 









































4.2.2 ”镜像 层 


很 多 时 候 ， 刚 接触 Docker 的 用 户 都 会 被 镜像 生成 的 过 程 难 倒 。Dockerfile 中 的 每 个 指令 
执行 后 都 会 产生 一 个 新 的 镜像 层 ， 而 这 个 镜像 层 其实 可 以 用 来 启动 容器 。 一 个 新 的 镜像 
层 的 建立 ， 是 用 上 一 层 的 镜像 启动 容器 ， 然 后 执行 Dockerfile 的 指令 后 ， 把 它 保存 为 一 个 
新 的 镜像 。 当 Dockerfile 指令 成 功 执行 后 ， 中 间 使 用 过 的 那个 容器 会 被 删 掉 ， 除 非 提 供 了 
--rm=false 参数 。' 由 于 每 个 指令 的 最 终结 果 都 只 是 个 静态 的 镜像 而 已 ， 本 质 上 除了 一 个 
文件 系统 和 一 些 元 数据 以 外 就 没有 其 他 东西 ， 因 此 即使 指令 中 有 任何 正在 运行 的 进程 ， 最 
后 都 会 被 停 控 。 这 意味 着 ,虽然 你 可 以 在 RUN 指令 中 执行 一 些 持久 的 进程 ， 壁 如 数据 库 或 
SSH 服务 ， 但 到 了 处 理 下 一 个 指令 或 启动 容器 的 时 候 ， 它 们 就 已 经 不 再 运行 了 。 如 果 你 需 
要 在 启动 容器 的 时 候 同 时 运行 一 个 服务 或 进程 ， 它 必须 从 ENTRYPOINT 或 CMD 指令 中 启动 。 
你 可 以 通过 docker history 命令 来 查看 组 成 镜像 的 所 有 层 。 例 如 : 


$ docker history mongo:latest 
IMAGE CREATED CREATED BY 0 
278372cb22b2 4 days ago /bin/sh -c #(nop) CMD ["mongod"] 




































































注 1: 如 果 我 已 经 把 你 弄 糊涂 了 , 不 用 担心 。 看 完 调试 示例 中 有 关 docker build 的 输出 信息 就 应 该 能 理解 了 。 
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341d04fd3d27 4 days ago /bin/sh -c #(nop) EXPOSE 27017/tcp 
ebd34b5e9c37 4 days ago /bin/sh -c #(nop) ENTRYPOINT &{["/entrypoint. 
f3b2b8cf226c 4 days ago /bin/sh -c #(nop) COPY file:ef2883b33ed7baQcc 
ba53e9f50f18 4 days ago /bin/sh -c #(nop) VOLUME [/data/db] 
c537910de5cc 4 days ago /bin/sh -c mkdir -p /data/db 8&& chown -R mong 
f48ad436057a 4 days ago /bin/sh -c set -x 

df59596772ab 4 days ago /bin/sh -c echo "deb http://repo.mongodb.org/ 
96de83c82d4b 4 days ago /bin/sh -c #(nop) ENV MONGO_VERSION=3.0.6 
Qdab801053d9 4 days ago /bin/sh -c #(nop) ENV MONGO_MAJOR=3.0 
5e7b428dddf7 4 days ago /bin/sh -c apt-key adv --keyserver ha.pool.sk 
e81ad85ddfce 4 days ago /bin/sh -c curl -o /usr/LocaL/bin/gosu -SL "h 
7328803ca452 4 days ago /bin/sh -c gpg --keyserver ha.pool.sks-keyser 
ec5be38a3c65 4 days ago /bin/sh -c apt-get Update 

430e6598f55b 4 days ago /bin/sh -c groupadd -r mongodb && useradd -r 
19de96c112fc 6 days ago /bin/sh -c #(nop) CMD ["/bin/bash"] 
ba249489d0b6 6 days ago /bin/sh -c #(nop) ADD file:b908886c97e2b96665 


当 构 建 失败 时 ， 你 可 以 把 失败 前 的 那个 层 启 动 起 来 ,这 将 非常 有 助 于 调试 。 举 个 例子 ,我 
们 有 下 面 这 个 Dockerfile: 


FROM busybox:latest 

















RUN echo "This should work" 
RUN /bin/bash -c echo "This won't" 


现在 尝试 构建 镜像 : 


$ docker build -t echotest . 
Sending build context to Docker daemon 2.048 kB 
Step 0 : FROM busybox:latest 
---> 4986bf8c1536 
Step 1 : RUN echo "This should work" 
---> Running in f63045cc086b © 
This should work 
---> 85b49a851fcc 加 
Removing intermediate container f63045cc086b © 
Step 2 : RUN /bin/bash -c echo "This won't" 
---> Running in e4b31d0550cd 
/bin/sh: /bin/bash: not found 
The command '/bin/sh -c /bin/bash -c echo"This won't 
code: 127 


@ Docker 为 了 执行 我 们 的 指令 而 创建 了 一 个 临时 容器 ， 这 是 该 容器 的 ID。 
名 这 是 由 该 容器 所 建立 的 镜像 的 I 人 D。 
四 临时 容器 在 这 里 被 删除 。 


在 这 个 例子 中 ， 虽 然 从 错误 信息 已 经 可 以 明显 看 出 问题 所 在 ， 但 是 仍然 可 以 利用 最 后 成 功 
生成 的 镜像 层 创建 一 个 镜像 出 来 并 执行 它 ， 用 作 调 试 指 令 之 用 。 请 注意 ， 我 们 使 用 的 人 D 
是 最 后 的 镜像 的 ID (85b49a851fcc)， 而 不 是 最 后 容器 的 ID (e4b31d0550cd) : 

$ docker run -it 85b49a851fcc 

/# /bin/bash -c "echo hmm" 


/bin/sh: /bin/bash: not found 
/# /bin/sh -c "echo ahh!" 





returned a non-zero 




















ahh! 


/ # 
现在 就 可 以 更 清楚 地 看 到 问题 的 原因 : busybox 镜像 没有 包含 bash shell。 
4.2.3 缓存 


Docker 为 了 加 快 镜像 构建 的 速度 ， 也 会 将 每 一 个 镜像 层 缓 存 下 来 。Docker 的 缓存 特性 能 
大 提高 工作 效率 ， 可 是 它 的 实现 却 有 点 笨拙 。 你 的 指令 必须 满足 以 下 条 件 ，Docker 才 会 使 
用 缓存 : 


。 上 一 个 指令 能 够 在 缓存 中 找 得 到 ， 并 且 
。 缓存 中 存在 一 个 镜像 层 ， 而 它 的 指令 与 你 的 指令 一 模 一 样 ， 父 层 也 完全 相同 (即使 指令 
中 出 现 一 些 无 关 重要 的 空格 也 会 使 缓存 失效 ) 


此 外 ， 关 于 COPY 和 ADD 指令 ， 如 有 果 它 们 引用 的 文件 的 校 验 和 或 元 数据 发 生 了 变化 ， 那 么 缓 
存 也 将 失效 。 
这 意味 着 ， 即 使 那些 每 次 调用 的 结果 可 能 都 不 一 样 的 RUN 指令 ， 也 仍然 会 被 缓存 。 如 果 需 
要 下 载 文件 、 执 行 apt-get update 或 复制 源码 库 ， 请 务必 注意 这 一 点 。 


如 果 你 需要 使 缓存 失效 ， 可 以 在 执行 -no-cache 参数 。 你 还 可 
以 通过 添加 或 修改 一 个 指令 ， 使 之 后 的 缓存 失效 ， 因 此 ， 你 可 能 在 一 些 Dockerfile 里 会 看 
到 类 似 这 样 的 写法 : 


ENV UPDATED_ON "14:12 17 February 2015" 
RUN git clone.... 


我 不 推荐 这 个 方法 ， 因 为 它 会 让 将 来 使 用 这 个 镜像 的 用 户 感到 困惑 ， 尤 其 是 镜像 创建 的 日 
期 与 其 中 所 写 的 不 一 样 时 。 


4.2.4 基础 镜像 


当 你 创建 自己 的 镜像 时 ， 你 需要 决定 从 哪个 基础 镜像 (base image) 开始 。 因 为 可 供 选 择 
的 镜像 非常 多 ， 所 以 花 一 点 时 间 去 了 解 它们 各 自 的 优 缺 点 是 很 值得 的 。 


最 理想 的 情况 是 完全 不 用 创建 镜像 ， 只 需 直 接 使 用 某 个 现 有 的 镜像 ， 然 后 把 配置 文件 和 / 
或 数据 挂 载 上 去 即 可 。 对 于 常见 的 应 用 软件 ， 诸 如 数据 库 和 Web 服务 器 ， 这 是 非常 可 行 
的 ， 因 为 它们 都 已 经 有 可 用 的 官方 镜像 。 一 般 情况 下 ， 使 用 官方 镜像 要 比 自己 创建 一 个 镜 
像 要 好 得 多 ， 因 为 其 他 人 已 经 找到 了 使 得 该 软件 以 最 佳 方式 运行 在 容器 中 的 方法 ， 你 能 从 
他 们 的 工作 成 果 和 经 验 中 受益 。 如 果 有 任何 特殊 原因 导致 你 无 法 使 用 官方 镜像 ， 可 以 考虑 
把 问题 报告 给 管理 该 镜像 的 项 目 ， 因 为 很 有 可 能 其 他 人 也 面临 着 类 似 的 问题 ， 或 者 已 经 有 
回避 它 的 已 知 方法 。 


如 有 果 你 需要 一 个 基础 镜像 用 来 运行 应 用 程序 ， 那 么 应 该 先 查 一 下 应 用 程序 所 使 用 的 编程 语 
言 或 框架 〈 例 如 Go 或 Ruby on Rails) 是 否 已 提供 了 官方 镜像 。 通 常 构建 和 发 布 软件 可 以 
使 用 不 同 的 镜像 ( 壁 如 可 以 使 用 java:jdk 镜像 来 构建 Java 应 用 ， 但 在 发 布 JAR 文件 的 时 
候 则 使 用 体积 较 小 的 java:jre 镜像 ， 因 为 它 去 除了 不 必要 的 编译 工具 )。 同 样 ， 一 些 官方 
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镜像 (如 node) 还 特别 提供 了 已 去 除 大 部 分 开发 工具 和 头 文件 的 “精简 ”版 本 。 

有 时 候 ， 你 真正 需要 的 可 能 只 是 一 个 小 而 完整 的 Linux 发 行 版 。 如 果 追 求 极 简 主 义 ， 我 会 
使 用 alpine 镜像 ， 它 的 大 小 仅仅 5MB 多 一 点 ， 但 仍 提供 了 一 个 包 管理 器 ， 可 以 轻松 安装 
量 应 用 和 工具 。 如 有 果 我 需要 一 个 更 完整 的 镜像 ， 我 通常 会 从 debian 系列 中 选 一 个 ， 虽 然 
ubuntu 镜像 也 很 常见 ， 但 debian 镜像 比 它 小 ， 还 可 以 使 用 相同 的 软件 包 。 即 使 你 的 组 织 
只 允许 使 用 某 个 特定 的 Linux 发 行 版 ， 你 应 该 也 能 找到 它 的 Docker 镜像 。 这 样 做 要 比 迁 移 
到 一 个 你 的 组 织 根本 不 支持 或 没有 经 验 的 新 发 行 版 更 合理 
很 多 时 候 ， 过 分 追求 镜像 的 最 小 化 是 没有 必要 的 。 请 记 住 ， 不 同 镜像 会 共享 相同 的 基础 镜 
像 层 ， 因 此 ， 如 果 你 已 经 有 ubuntu:14.04 镜像 ， 然 后 从 Hub 下 载 一 个 基于 它 的 另 一 个 镑 
像 ， 那 么 ， 你 只 会 下 载 它 在 基础 镜像 之 上 改变 过 的 部 分 ， 而 并 非 整 个 镜像 。 不 过 ， 细 小 的 
镜像 确实 有 利于 快速 部 署 和 分 发 。 


做 出 一 个 极 小 的 镜像 还 是 有 可 能 的 ， 你 可 以 在 镜像 中 只 放 和 二进制 文件 。 为 此 ，Dockerfile 
需要 继承 一 个 特殊 的 scratch 镜像 ( 它 是 一 个 完全 空白 的 文件 系统 )， 然 后 只 需 将 你 的 二 
进 制 文件 复制 进去 ， 并 设置 适当 的 cMD 指令 。 你 的 二 进 制 文件 必须 包含 所 有 需要 的 程序 库 
(无 动态 链接 )， 并 且 不 会 调用 任何 外 部 命令 。 此 外 ， 还 要 记 住 编译 二 进 制 文件 时 的 目标 
架构 ， 它 必须 与 容器 的 架构 相同 ， 因 为 运行 Docker 客户 端的 机 器 架构 可 能 与 容器 的 架构 
不 同 。” 

虽然 极 简 方法 非常 诱 人 ， 但 不 得 不 注意 ， 当 需要 进行 调试 或 维护 的 时 候 ， 你 将 会 面临 诸 
多 不 便 ， 因 为 busybox 并 没有 太 多 供 你 使 用 的 工具 ， 要 是 使 用 了 scratch 镜像 ， 你 甚至 连 
shell 都 没有 。 
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Phusion 镜像 的 争议 


关于 基础 镜像 ， 一 个 值得 关注 的 选择 是 phusion/baseimage-docker。Phusion 的 开发 者 
创建 这 个 基础 镜像 的 原因 是 出 于 对 Ubuntu 官方 镜像 的 一 些 想 法 ， 他 们 声称 它 缺 少 了 
某 些 关键 服务 。 一 些 Docker 的 核心 开发 者 并 不 同意 Phusion 的 观点 ， 这 导致 后 来 在 博 
客 、IRC 以 及 推 特 上 曾经 出 现 过 多 番 议 论 。 争 论 的 要 点 如 下 。 
是 否 需要 init 服务 
Docker 的 观点 是 每 个 容器 只 该 运行 一 个 单一 的 应 用 ， 其 至 最 好 只 运行 一 个 进程 。 
如 果 你 只 有 一 个 进程 ， 那 就 没有 必要 使 用 init 服务 。Phusion 提出 的 主要 论点 是 ， 











注 2; 这 种 极 简 的 设计 概念 其 实 还 可 以 更 进一步 ， 舍 弃 Docker 以 及 整个 Linux 内 核 ， 以 unikernel 的 做 法 取 
而 代 之 。 在 unikernel 架构 中 ， 应 用 程序 与 仅 含有 该 应 用 程序 所 需 功能 的 内 核 相 结合 ， 然 后 由 虚拟 器 
管理 程序 直接 执行 。 这 样 做 可 以 省 去 一 些 不 必要 的 代码 和 不 会 使 用 的 驱动 ， 使 得 应 用 程序 更 小 也 更 快 
(unikernel 通常 可 以 在 一 秒 内 启动 ， 也 就 是 说 ， 它 可 以 直接 由 用 户 请 求 启动 )。 了 解 更 多 内 容 请 参阅 
Anil Madhavapeddy 和 David J. Scott 的 文章 “Unikernels: Rise of the Virtual Library Operating System ” 
(https://queue.acm.org/detail.cftm?id=2566628) 以 及 MirageOS 系统 (http://www.openmirage.org/)。 
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没有 init 服 务 导 致 容器 内 充满 僵尸 进程 僵尸 进程 是 那些 没有 被 父 进程 正常 结 
束 ， 或 者 没有 被 负责 监管 的 进程 收拾 干净 的 进程 。 虽 然 这 种 说 法 是 正确 的 ， 但 伪 
尸 进 程 发 生 的 唯一 可 能 是 应 用 程序 的 代码 中 存在 bug; 绝 大 多 数 的 用 户 应 该 不 会 
遇 到 这 个 问题 ， 如 果 有 ， 最 好 的 解决 方法 是 修复 代码 。 

是 否 保持 cron 守护 进程 运行 
Ubuntu 和 debian 的 基础 镜像 默认 不 启动 cron 守护 进程 ， 但 phusion 不 一 样 。 
Phusion 认为 许多 应 用 程序 都 依赖 cron， 因 此 它 必 须 保 持 运行 。 而 Docker 的 观 
点 ， 同 时 也 是 我 倾向 认同 的 观点 ， 就 是 cron 在 你 的 应 用 程序 依赖 它 的 时 候 才 需要 
运行 。 

SSH 服务 
默认 镜像 都 不 会 安装 SSH 服务 或 运行 它 。 正 常 获取 shell 的 方法 是 执行 docker 
exec 命令 (参见 4.6.2 节 ) ， 否 则 每 个 容器 都 需要 运行 一 个 不 必要 的 进程 ， 而 这 只 
会 带 来 坏处 。Phusion 似乎 接受 了 这 一 点 ， 并 已 默认 禁用 了 SSH 服 务 ， 但 它 的 镜 
像 仍 然 包 含 SSH 程序 和 它 的 库 ， 使 得 镜像 还 是 颇 为 腑 肿 。 





就 个 人 而 言 ， 只 有 需要 在 容器 中 运行 多 个 进程 、cron 以 及 SSH 时 ， 我 才 会 推荐 使 
用 Phusion 的 基础 镜像 。 否则 ， 我 会 坚持 使 用 来 自 Docker 官方 仓库 的 镜像 ， 如 
ubuntu:14.04 及 debian:wheezy。 








重建 镜像 

请 注意 ， 当 执行 docker build 的 时 候 ，Docker 会 查看 FROM 指令 所 指定 的 镜 
像 ， 如 果 本 地 没有 该 镜像 ，Docker 会 试图 下 载 它 。 如 果 本 地 已 有 该 镜像 ， 
Docker 就 会 使 用 它 ， 而 不 会 先 检查 是 否 有 更 新 的 可 用 版 本 。 这 意味 着 仅仅 执 
行 docker build 并 不 足以 保证 你 的 镜像 是 最 新 的 ， 你 还 必须 对 所 有 被 依赖 的 
父 镜像 显 式 地 执行 docker pull 或 删 掉 它 们 ， 使 build 命令 不 得 不 下 载 最 新 
版 本 。 

鉴于 一 般 的 基础 镜像 (如 debian) 都 会 发 布 安全 补丁 更 新 ， 因 此 这 一 点 尤为 
重要 。 























4.2.5 “Dockerfile 指 令 


这 一 节 对 Dockerfile 的 各 个 指令 作 扼要 介绍 。 这 里 不 会 详 述 细节 ， 一 方面 是 因为 Docker 还 
在 不 断 变化 ， 所 以 内 容 很 可 能 很 快 就 会 过 时 ， 另 一 方面 是 因为 在 Docker 网 站 (http://docs. 
docker.com/reference/builder/) 内 就 能 够 找到 全 面 且 最 新 的 文档 。Dockerfile 的 注释 方法 是 
以 # 作 为 一 行 的 开头 。 
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Exec 与 Shell 格式 的 对 比 

一 些 指 令 (RUN、CMD 以 及 ENTRYPOINT) 能 够 接受 shell 和 exec 这 两 种 格 
式 。exec 格式 需要 用 到 一 个 JSON 数组 (例如 ，["executable"，"param1"， 
"param2"])， 其 中 第 一 个 元 素 是 一 个 可 执行 文件 ， 其 他 元 素 是 它 执行 时 所 使 
用 的 参数 。Shell 格式 使 用 的 是 自由 形式 的 字符 串 ， 字 符 串 会 传 给 /bin/sh -c 
执行 。exec 格式 适用 于 需要 规避 shell 对 字符 串 作出 错误 解析 的 情况 ， 或 者 
当 镜 像 里 没有 包含 /bin/sh 时 。 








以 下 列 出 的 是 Dockerfile 的 可 用 指令 。 
ADD 
从 构建 环境 的 上 下 文 或 远程 URL 复制 文件 至 镜像 。 如 果 是 从 一 个 本 地 路 径 添 加 一 个 归 
档 文 件 ， 那 么 它 会 被 自动 解压 。 由 于 App 指令 涵盖 的 功能 相当 广泛 ， 一般 最 好 还 是 使 用 
相对 简单 的 COPY 指令 来 复制 构建 环境 上 下 文 的 文件 和 目录 ， 并 用 RUN 指令 配合 curt 或 
wget 来 下 载 远 程 资 源 (这 样 还 可 以 在 同一 个 指令 中 处 理 和 删除 下 载 文件 )。 
CMD 























当 容 器 启动 时 执行 指定 的 指令 。 如 果 还 定义 了 ENTRYPOINT ， 该 指令 将 被 解释 为 
ENTRYPOINT 的 参数 〈 在 这 种 情况 下 ， 请 确保 使 用 的 是 exec 格式 )。CMD 指令 也 会 被 
docker run 命令 中 镜像 名 称 后 面 的 所 有 参数 覆盖 。 假 如 定义 了 多 个 CMD 指令 ， 那 么 只 有 
最 后 一 个 生效 ， 前 面 出 现 过 的 CMD 指令 全 部 无 效 (包括 出 现在 基础 镜像 中 的 那些 )。 

COPY 


用 于 从 构建 环境 的 上 下 文 复制 文 件 至 镜像 。 它 有 两 种 形式 ，COPY src dest 以 及 COPY 
["src"，"dest"]， 两 者 乡 从 上 下 文中 的 src 复制 文件 或 目录 至 容器 内 的 dest。 如 果 路 
径 中 有 空格 的 话 ， 那 么 必须 使 用 JSON 数组 的 格式 。 通 配 符 可 以 用 来 指定 多 个 文件 或 
目录 。 请 注意 ， 你 不 能 指定 上 下 文 以 外 的 src 路 径 (例如 ../another_dir/myfile 是 不 管用 
的 )。 


ENTRYPOINT 
设置 一 个 于 容器 启动 时 运行 的 可 执行 文件 (以 及 默认 参数 )。 任 何 CMD 指令 或 docker 
run 命令 中 镜像 名 称 之 后 的 参数 ， 将 作为 参数 传 给 这 个 可 执行 文件 。ENTRYPOINT 指令 通 
常用 于 提供 “启动 ”脚本 ， 目 的 是 在 解析 参数 之 前 ， 对 变量 和 服务 进行 初始 化 。 

ENV 


设置 镜像 内 的 环境 变量 。 这 些 变量 可 以 被 随后 的 指令 引用 。 例 如 : 












































ENV MY_VERSION 1.3 
RUN apt-get install -y mypackage=$MY_VERSION 








EXPOSE 


向 Docker 表示 该 容器 将 会 有 一 个 进程 监听 所 指定 的 端口 。 提 供 这 个 信息 的 目的 是 用 
于 连接 容器 (参见 44 节 ) 或 在 执行 docker run 命令 时 通过 -p 参数 把 端口 发 布 开 来 ， 
EXPOSE 指令 本 身 并 不 会 对 网 络 有 实质 性 的 改变 。 

FROM 


设置 Dockerfile 使 用 的 基础 镜像 ， 随 后 的 指令 皆 执 行 于 这 个 镜像 之 上 。 基 础 镜像 以 “ 镜 
像 : 标签 ”(IMAGE:TAG) 的 格式 表示 (例如 debian:wheezy)。 如 果 省 略 标签 ， 那 么 就 被 
视 为 最 新 (Latest) ， 但 我 强烈 建议 你 一 定 要 给 标签 设置 为 某 个 特定 版 本 ， 以 免 出 现任 
何 意 想不到 的 事情 。FROM 必须 为 Dockerfile 的 第 一 条 指令 。 

MAINTAINER 
把 镜像 中 的 “作者 ”元 数据 设 定 为 指定 的 字符 串 。 可 以 通过 docker inspect -f 
{{.Author}} IMAGE 这 个 命令 来 查看 该 信息 。 这 个 指令 通常 用 于 设置 镜像 维护 者 的 姓名 
和 联系 方式 。 

ONBUILD 
引 定 当 镜 像 被 用 作 另 一 个 镜像 的 基础 镜像 时 将 会 执行 的 指令 。 对 于 处 理 一 些 将 要 添加 到 
子 镜像 的 数据 ， 这 个 指令 将 会 非常 有 用 (例如 ， 把 代码 从 一 个 已 选 定 的 目录 中 复制 出 
来 ， 并 在 执行 构建 脚本 时 使 用 它 )。 






































RUN 
在 容器 内 执行 指定 的 指令 ， 并 把 结果 保存 下 来 。 
USER 
设置 任何 后 续 的 RUN、CMD 或 ENTRYPOINT 指令 执行 时 所 用 的 用 户 (用 户 名 或 UID)。 请 


注意 ，UID 在 主机 和 容器 中 是 相同 的 ， 但 用 户 名 则 可 能 被 分 配 到 不 同 的 UID， 导 致 设置 
权限 时 变 得 复杂 。 

VOLUME 
指定 为 数据 卷 的 文件 或 目录 。 如 有 果 该 文件 或 目录 已 经 在 镜像 中 存在 ， 那 么 当 容器 启动 
时 ， 它 就 会 被 复制 至 这 个 卷 。 如 果 提 供 了 多 个 参数 ， 那 么 就 会 被 解释 成 多 个 数据 卷 。 出 
于 对 可 移植 性 和 安全 性 的 考虑 ， 你 不 能 在 Dockerfile 中 指定 数据 卷 将 会 使 用 的 主机 目 
录 。 更 多 相关 信息 参见 4.5 市 。 


WORKDIR 


对 任何 后 续 的 RUN、CMD、ENTRYPOINT、ADD 或 COPY 指令 设置 工作 目录 。 这 个 指令 可 多 次 
使 用 。 支 持 使 用 相对 路 径 ， 按 上 次 定义 的 WORKDIR 解析 。 


4.3 使 容器 与 世界 相连 


假设 你 正在 一 个 容器 中 运行 Web 服务 器 。 你 如 何 使 外 界 能 访问 它 呢 ? 答案 是 通过 -p 或 -P 
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选项 来 “发 布 ”端口 。 这 个 命令 能 够 将 主机 的 端口 转发 到 容器 上 。 例 如 


$ docker run -d -p 8000:80 nginx 
af9038e18360002ef3f3658f16094dadd4928c4b3e88e347c9a746b131db5444 
$ curl LocaLhost:8000 

<!DOCTYPE htmL> 

<html> 

<head> 

<title>Welcome to nginx!</title> 





其 中 的 -p 8000:80 参数 告诉 Docker 将 主机 的 8000 端口 转发 至 容器 的 80 端口 。 或 者 ， 可 
以 使 用 -P 选项 来 告诉 Docker 自动 选择 一 个 主机 上 未 使 用 的 端口 。 例 如 : 


$ ID=$(docker run -d -P nginx) 

$ docker port $ID 80 
9.0.0.0:32771 

$ curL LocaLhost:32771 

<!DOCTYPE htmL> 

<htmL> 

<head> 

<title>Welcome to nginx!</title> 




















-P 选项 的 主要 优势 是 你 :不 再 需要 负责 跟踪 哪些 端口 被 分 配 过 ， 如 果 你 有 几 个 容器 同时 发 布 
了 不 同 端口 ， 这 就 变 得 很 重要 了 。 这 时 候 只 需要 使 用 docker port 命令 来 找 出 被 Docker 分 
配 的 端口 。 


4.4 容器 互联 


Docker 的 连接 (link) 是 允许 同一 主机 上 的 容器 互相 通信 的 最 简单 方法 。 当 使 用 Docker 默 
认 的 联网 模型 时 ， 容 器 之 间 的 通信 将 通过 Docker 的 内 部 网 络 ， 这 意味 着 主机 网 络 无 法 看 
见 这 些 通信 。 








Docker 关于 联网 的 改变 


在 将 来 的 Docker 版 本 (可 能 是 1.9 或 以 后 ) 中 ， 容 器 互联 的 惯用 方式 将 改 为 
“发 布 服务 ”的 形式 ， 而 不 再 是 “连接 容器 *"。 然 而 ， 连 接 方 式 在 可 预见 的 时 
间 段 内 仍 会 支持 ， 本 书 的 范例 在 不 修改 的 情况 下 应 仍 能 照常 工作 。 

如 果 要 了 解 更 多 即将 发 生 的 有 关联 网 的 改变 ， 参 见 11.4 节 。 























二 














连接 的 初始 化 是 通过 执行 docker run 命令 时 传 入 --Link CONTAINER:ALIAS 参数 ， 其 中 
CONTAINER 是 目标 容器 的 名 称 ”， 而 ALIAS (别名 ) 是 主 容器 用 来 称呼 目标 容器 的 一 个 本 地 
名 称 。 


使 用 Docker 的 连接 也 会 把 目标 容器 的 别名 和 ID 添加 到 主 容器 中 的 /etc/hosts， 人 允许 主 容器 





























注 3: 在 这 部 分 以 至 全 书 ， 我 把 被 连接 的 容器 称 为 目标 容器 ， 而 容器 被 启动 的 一 方 称 为 主 容器 (因为 它 是 负 
责 建立 连接 的 一 方 )。 
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通过 名 称 找到 目标 容器 。 


此 外 ，Docker 还 会 在 主 容器 内 设置 一 系列 的 环境 变量 ， 目 的 是 为 了 更 方便 与 目标 容器 通 
信 。 例 如 ， 假 设 我 们 创建 一 个 Redis 容器 并 连接 到 它 
$ docker run -d --name myredis redis 
c9148dee046a6fefac48806cd8ecQce85492b71f25e97aae9a1a75027b1c8423 
$ docker run --link myredis:redis debian env 
PATH=/usr/LocaL/sbin:/usr/LocaL/bin:/usr/sbin:/usr/bin:/sbin:/bin 
HOSTNANME=f015d58d53b5 
REDIS_PORT=tcp://172.17.0.22:6379 
REDIS_PORT_6379_TCP=tcp://172.17.0.22:6379 
REDIS_PORT_6379_TCP_ADDR=172.17.0.22 
REDIS_PORT_6379_TCP_PORT=6379 
REDIS_PORT_6379_TCP_PROTO=tcp 
REDIS_NAME=/distracted_rosalind/redis 
REDIS_ENV_REDIS_VERSION=3.0.3 
REDIS_ENV_REDIS_DOWNLOAD_URL=http://download.redis.io/releases/redis-3.0.3.tar.gz 
REDIS_ENV_REDIS_DOWNLOAD_SHA1=0e2d7707327986ae652df717059354b358b83358 
HOME=/root 


可 以 看 到 ，Docker 设置 了 一 些 以 REDIS_PORT 为 前 级 的 环境 变量 ， 它 们 包含 如 何 连 接 到 容 
器 的 信息 。 大 部 分 变量 的 信息 看 起 来 似乎 有 些 多 余 ， 因 为 它们 的 值 跟 名 称 都 有 重复 的 内 
容 。 尽管 如 此 ， 即使 只 把 它们 看 作 一 种 文档 记录 也 很 有 用 。 


Docker 还 导入 了 目标 容器 的 环境 变量 ， 并 在 它们 的 名 字 前 面 加 上 REDIS_ENV。 虽 然 这 个 做 
法 可 以 很 有 用 ， 但 如 果 你 利用 环境 变量 来 存储 机 密 信息 ， 例 如 API 令 牌 或 数据 库 密 码 ， 那 
么 就 要 倍加 注意 了 。 
默认 情况 下 ， 无 论 容器 之 间 是 否 已 经 建立 了 显 式 连接 ， 都 可 以 互相 通信 。 如 果 想 要 防止 尚 
未 连接 的 容器 能 够 互联 ， 可 以 在 启动 Docker 守护 进程 时 加 上 --icc=false 和 --iptables 这 
两 个 参数 。 当 容器 之 间 建 并 了 连接 时 ，Docker 便 会 设置 iptables 规则 让 容器 可 以 在 已 声明 
为 开放 (exposed) 的 端口 上 进行 通信 。 


遗憾 的 是 ，Docker 的 连接 功能 目前 还 有 一 些 不 足 之 处 。 其 中 最 大 的 不 足 也 许 就 是 连接 只 色 
是 静态 的 。 虽 然 连 接 在 容器 重启 之 后 应 该 还 能 工作 ， 但 如 果 目 标 容器 被 替换 了 ， 连接 是 不 
会 更 新 的 。 此 外 ， 目 标 容器 必须 在 主 容器 之 前 启动 ， 这 意味 着 双向 连接 是 不 可 能 的 。 


更 多 有 关 容 器 互联 的 信息 ， 请 参阅 第 11 章 。 


4.5 利用 数据 卷 和 数据 容器 管理 数据 


本 节 先 简单 复习 一 下 Docker 的 数据 卷 ， 它 是 一 个 目录 “，, 但 并 不 属于 容器 UFS 的 一 部 分 
( 详 见 3.3 布 的 “镜像 、 容 器 和 联合 文件 系统 ”)， 它 只 是 在 主机 上 被 绑 定 挂 载 (bind mount) 
到 容器 的 一 个 普通 目录 (参见 本 市 的 说 明 “ 绑 定 挂 载 ”)。 


总 共有 三 种 ”不 同 的 方法 进行 数据 卷 的 初始 化 ， 认 识 清 楚 它 们 之 间 的 差异 对 你 非常 重要 。 













































































注 4: 从 技术 上 讲 ， 可 以 是 目录 或 文件 ， 因 为 数据 卷 也 可 以 是 一 个 文件 。 
注 5: OK， 也 可 以 说 是 两 个 半 ， 这 要 看 你 怎么 数 。 


























首先 ， 可 以 在 执行 Docker 时 ， 通 过 -v 选项 来 宣告 一 个 数据 卷 : 


$ docker run -it --name container-test -h CONTAINER -v /data debian /bin/bash 
root@CONTAINER: /# ls /data 
Toot@CONTAINER: /# 


这 样 ， 容 器 中 的 /data 目录 便 成 为 了 一 个 数据 卷 。 镜 像 的 /data 目录 中 的 所 有 文件 将 被 复制 
到 数据 卷 内 。 我 们 可 以 在 主机 上 打开 一 个 新 的 shell， 通 过 执行 docker inspect 命令 ， 找 出 
数据 卷 在 主机 上 的 实际 位 置 : 


$ docker inspect -f {{.Mounts}} container-test 
[{5cad... /mnt/sdal/var/lib/docker/volumes/5cad.../_data /data local true}] 


在 这 个 例子 中 ， 容 器 的 /data/ 卷 仅 仅 是 一 个 指向 主机 中 /var/lib/docker/volumes/5cad…/_ 
data 目录 的 连接 。 为 了 证 明 这 一 点 ， 我 们 可 以 在 主机 上 添加 一 个 文件 到 那个 目录 :“ 


$ sudo touch /var/lib/docker/volumes/5cad.../_data/test-file 
你 应 该 可 以 立刻 在 容器 中 看 到 它 : 


$ root@CONTAINER:/# ls /data 
test-file 


设置 数据 卷 的 第 二 种 方法 是 通过 在 Dockerfile 中 使 用 VOLUME 指令 : 


FROM debian:wheezy 
VOLUME /data 


这 个 做 法 与 执行 docker run 时 提供 -v /data 参数 的 效果 是 相同 的 。 


























在 Dockerfile 中 设置 数据 卷 权 限 


很 多 时 候 你 都 需要 设置 数据 卷 的 权限 和 它 的 所 有 者 ， 或 者 需要 把 一 些 默 认 数据 或 配置 
文件 用 作 卷 的 初始 数据 。 进行 这 些 操作 的 时 候 ， 有 一 点 必须 注意 ， 那 就 是 Dockerfile 
中 VOLUME 指令 之 后 的 所 有 指令 不 可 以 对 该 数据 卷 有 任何 修改 。 例 如 ， 下 面 的 
Dockerfile 不 会 有 预期 中 的 效果 : 

FROM debian:wheezy 

RUN useradd foo 

VOLUME /data 


RUN touch /data/x 
RUN chown -R foo:foo /data 


本 来 我 们 希望 touch 和 chown 命令 在 镜像 的 文件 系统 上 执行 ， 但 实际 上 ， 它 们 是 在 一 
个 用 来 创建 容器 层 的 临时 容器 内 的 数据 卷 上 执行 的 (详细 说 明 请 查看 4.2 节 )。 当 命令 
结束 后 ， 这 个 卷 也 会 被 删除 ， 使 这 些 指令 变 得 毫 无 意义 。 











注 6， 如果 你 连接 的 是 远程 Docker 服务 ， 你 需要 先 通过 SSH 登录 到 远程 主机 ， 然 后 在 远程 主机 上 执行 这 个 
命令 。 如 果 你 正 使 用 Docker Machine (假如 你 是 通过 Docker 工具 箱 安装 Docker 的 话 ) ， 你 也 可 以 执 
行 docker-machine ssh default 来 登入 系统 。 
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下 面 的 Dockerfile 则 能 够 达到 我 们 期 望 的 效果 : 


FROM debian:wheezy 

RUN useradd foo 

RUN mkdir /data && touch /data/x 
RUN chown -R foo:foo /data 
VOLUME /data 


当 使 用 这 个 镜像 来 启动 一 个 容器 的 时 候 ，Docker 会 把 那个 数据 卷 目 录 内 的 所 有 文件 从 
镜像 复制 到 容器 。 但 如 果 数 据 卷 是 和 主机 目录 绑 定 的 话 ， 那 么 镜像 的 数据 就 不 会 复制 
到 容器 了 (这 是 为 了 防止 主机 文件 被 意外 复写 )。 

如 果 由 于 某 些 原因 ， 你 不 能 在 RUN 指令 中 设置 卷 的 权限 和 它 的 所 有 者 ， 那 么 就 需要 通 
过 使 用 CMD 或 ENTRYPOINT 指令 ， 在 容器 创建 后 ， 以 执行 脚本 的 方式 来 解决 。 











第 三 种 方法 “将 docker run 命令 的 -v 选项 用 法 进行 扩展 ， 使 到 能 够 具体 指明 数据 卷 要 绑 
定 的 主机 目录 ， 命 令 格 式 为 -v HOST_DIR:CONTAINER_DIR (其 中 HOST_DIR 为 主机 目录 ， 
CONTAINER_DIR 为 容器 目录 )， 而 Dockerfile 并 不 支持 这 样 做 (因为 这 是 不 可 移植 的 ， 而 且 
还 会 有 安全 风险 ) 。 这 个 命令 的 用 法 如 下 : 


$ docker run -v /home/adrian/data:/data debian ls /data 


这 个 例子 把 主机 的 /home/adrian/data 目录 挂 载 到 容器 的 /data 目录 。 容 器 能 够 使 用 /home/ 
adrian/data 目录 中 己 有 的 任何 文件 。 如 果 容 器 已 经 有 /data 目录 ， 它 的 内 容 将 会 被 数据 卷 
所 隐藏 。 与 先前 的 几 个 命令 不 同 ， 这 次 并 设 有 文件 会 从 镜像 复制 到 数据 卷 ， 而 卷 也 不 会 被 
Docker 删除 〈 换 名 话说 ， 假 如 数据 卷 是 挂 载 到 一 个 用 户 选 定 的 目录 的 话 ， 那 么 docker rm -v 
是 不 会 把 它 删除 的 )。 


绑 定 挂 载 

使 用 数据 卷 时 特别 指明 主机 目录 (即使 用 了 -v HOST_DIR:CONTAINER_DIR 这 个 
语法 ) ， 这 个 做 法 一 般 被 称 为 绑 定 挂 载 (Bind Mounting)。 这 个 说 法 多 少 会 
令 人 误解 ， 因 为 从 技术 上 而 言 ， 所 有 数据 卷 都 是 绑 定 挂 载 的 ， 不 同 的 是 该 挂 
载 点 的 位 置 是 具体 指定 的 ， 而 不 是 藏 于 某 个 Docker 管理 的 目录 下 。 




















4.5.1 共享 数据 

如 果 需 要 在 主机 和 一 个 或 多 个 容器 之 间 共 享 文件 ，-v HOST_DIR:CONTAINER_DIR 语法 是 非常 
有 用 的 。 假 设 容器 使 用 的 是 一 般 通 用 的 镜像 ， 我 们 可 以 把 配置 文件 保存 在 主机 上 ， 然 后 把 
它们 挂 载 到 容器 来 进行 配置 。 

男 一 种 容器 间 共 享 数据 的 方法 是 ， 在 运行 docker run 命令 时 ， 传 入 --volumes-from 
CONTAINER 参数 。 例 如 ， 我 们 可 以 创建 一 个 新 的 容器 ， 让 它 能 够 访问 之 前 的 示例 中 该 容器 
的 数据 卷 ， 像 这 样 : 














注 7: 排名 的 话 ， 它 应 该 与 第 二 种 方法 同样 重要 。 
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$ docker run -it -h NEWCONTAINER --voLumes-from container-test debian /bin/bash 

root@NEWCONTAINER: /# ls /data 

test-file 

root@NEWCONTAINER: /# 
需要 注意 的 是 ， 与 卷 关联 的 那个 容器 〈 在 刚才 的 例子 中 ， 就 是 container-test) 无 论 正 
在 运行 与 否 ， 刚 才 的 命令 都 能 使 用 。 只 要 至 少 存在 着 一 个 容器 与 卷 关联 ， 那 么 卷 就 不 会 
被 删除 。 


4.5.2 ”数据 容器 

一 个 常用 的 做 法 是 创建 数据 容器 ， 这 种 容器 的 唯一 目的 就 是 与 其 他 容器 分 享 数据 。 这 种 方 
法 的 主要 优点 在 于 ， 它 提供 了 一 个 方便 的 命名 空间 ， 使 数据 卷 可 以 很 容易 通过 --volumes-from 
命令 进行 加 载 。 

例如 ， 我 们 可 以 用 以 下 命令 ， 为 PostgreSQL 数据 库 创 建 一 个 数据 容器 : 


$ docker run --name dbdata postgres echo "Data-only container for postgres" 


这 个 命令 将 从 postgres 镜像 创建 一 个 容器 ， 并 且 初 始 化 镜像 中 定义 的 所 有 数据 卷 ， 最 后 执 
行 echo 命令 并 退出 。 我 们 没有 必要 让 数据 容器 一 直 运 行 ， 这 样 做 只 会 浪费 资源 。 


现在 便 可 以 通过 --volumes-from 参数 ， 使 其 他 容器 也 能 够 使 用 这 个 数据 卷 。 例 如 


$ docker run -d --volumes-from dbdata --name db1 postgres 


数据 容器 的 镜像 

通常 ， 创 建 数 据 容器 没有 必要 使 用 像 busybox 或 scratch 这 种 极 小 的 镜像 。 
你 只 需 使 用 与 数据 使 用 方 一 样 的 镜像 即 可 。 例 如 ， 为 PostgreSQL 数据 库 创 
建 数 据 容 器 的 话 ， 只 需 使 用 postgres 镜像 来 做 。 
使 用 相同 的 镜像 不 会 占用 任何 额外 空间 ， 因 为 你 肯定 已 经 下 载 或 创建 了 用 作 
数据 使 用 方 的 镜像 。 这 样 做 也 让 镜像 有 机 会 为 容器 建立 任何 初始 数据 ， 并 确 
保 权 限 设置 正确 。 















































删除 数据 卷 
数据 卷 只 会 在 满足 以 下 条 件 的 时 候 被 删除 : 


。 容器 被 docker rm -v 命令 删除 ， 或 
。 docker run 命令 执行 时 带 有 - -rm 选项 


以 及 
。 目前 没有 容器 与 该 数据 卷 关 联 
。 该 数据 卷 没 有 被 指定 使 用 主机 目录 ( 即 没 有 使 用 -v HOST_DIR:CONTAINER_DIR 语法 ) 











注 8: 这 里 可 以 使 用 任何 能 立即 退出 的 命令 ， 但 运行 docker ps -a 的 时 候 ，echo 命令 的 输出 信息 有 助 于 提醒 
我 们 容器 的 目的 。 另 一 种 方法 是 使 用 根本 不 会 启动 容器 的 docker create 命令 来 取代 docker run。 
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目前 ， 除 非 每 次 运行 容器 的 时 候 都 谨 记 以 上 几 点 ， 否 则 就 很 有 可 能 在 Docker 的 安装 目录 
下 积累 一 些 被 遗忘 的 文件 和 目录 ， 而 且 很 难 弄 清 它们 的 来 历 。Docker 正在 开发 一 个 名 为 
volume 的 基本 命令 ， 它 将 允许 你 在 不 用 考虑 容器 的 情况 下 ， 对 数据 卷 进行 列 出 、 创 建 、 检 
查 以 及 删除 的 操作 。 预 计 这 一 功能 将 随 1.9 版 本 推出 ， 本 书 出 版 的 时 候 应 该 已 经 发 布 。 


4.6 ”Docker 常 用 命令 


本 节 仅 针对 日 常 使 用 的 Docker 命令 作 扼要 介绍 (至 少 和 官方 文档 相 比 较 而 言 )， 而 不 会 详 
尽 讲 解 所 有 命令 。 由 于 Docker 正 迅 速 发 展 和 不 断 变化 ， 如 果 需 要 某 个 命令 最 新 最 全 的 信 
息 ， 请 查阅 Docker 网 站 上 的 官方 文档 (http://docs.docker.com)。 这 里 不 会 罗列 和 详细 介绍 
各 命令 的 选项 和 语法 (docker run 除外 )。 因 此 ， 你 可 以 借助 内 建 的 帮助 信息 ， 查 看 方法 
是 在 命令 之 后 加 上 --help 选项 ， 或 者 通过 使 用 docker help 命令 。 


Docker 布尔 型 选项 
在 大 多 数 Unix 命令 行 工具 中 ， 你 会 发 现 很 多 选项 不 需要 指定 任何 值 ， 例 如 1s 
-Ll 中 的 -L。 由 于 这 些 选 项 是 要 么 使 用 ， 要 么 不 使 用 ，Docker 视 这 种 选项 为 
布尔 型 选项 ， 但 与 大 多 数 程序 不 一 样 的 是 ， 它 还 支持 对 选项 明确 赋予 布尔 值 
( 即 它 能 同时 接受 -f=true 和 -f 的 用 法 )。 另 外 ， 选 项 的 默认 值 可 能 是 tue 或 
false (这 也 使 得 事情 开始 变 得 复杂 )。 不 同 于 默认 值 为 false 的 选项 ， 对 于 默认 
值 为 true 的 选项 ， 不 赋值 等 同 于 给 了 true 参数 。 使 用 了 某 选 项 但 没有 提供 参 
数 ， 等 同 于 把 选项 设置 成 rue 一 一 给 一 个 默认 为 true 的 选项 赋值 不 会 改变 它 的 
值 ; 要 改变 它 的 值 ， 唯 一 的 方法 是 将 其 明确 设置 成 false (例如 -f=false)。 
要 找 出 一 个 选项 的 默认 值 是 true 还 是 false， 可 以 参阅 该 命令 的 docker help。 
例如 : 

$ docker logs --help 

















































































































由 -f, --follow=false 跟随 日 志 输 出 
--help=false 列 出 使 方式 





-t，--timestamps=false 显示 时 间 惟 





可 以 看 到 ，-f、--help 以 及 -t 选项 都 是 默认 为 false。 
下 面 来 看 几 个 关于 docker run 命令 中 默认 为 true 的 --sig-proxy 选项 的 实际 
例子 。 唯 一 能 把 这 个 选项 关 掉 的 方法 就 是 显 式 地 把 它 设置 成 false。 例 如 : 
$ docker run --sig-proxy=false ... 
以 下 所 有 命令 效果 相同 


$ docker run --sig-proxy=true ... 
$ docker run --sig-proxy ... 
$ docker run ... 


车 选项 默认 为 false， 如 --read-only， 以 下 命令 将 其 设置 为 true: 


$ docker run --read-only=true 
$ docker run --read-only 
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执行 命令 ee 或 明确 地 把 它 设 为 false， 效 果 相 同 。 
有 些 选 项 具有 “短路 ”人 逻辑”, 会 导致 一 些 古 怪 行为 (例如 docker ps 
--help=false 能 正常 工作 ， 但 不 会 打印 帮助 信息 )。 





4.6.1 run 命令 


前 文 已 经 展示 了 docker run 命令 的 实际 操作 ， 启 动 新 容器 时 必然 会 用 到 它 。 因 此 ， 它 是 迄 
今 为 止 最 复杂 的 命令 ， 能 支持 非常 多 的 参数 。 它 的 选项 允许 用 户 配置 镜像 运行 的 方式 、 履 
盖 Dockerfile 设置 、 配 置 联网 ， 以 及 设置 容器 的 权限 和 资源 。 


下 列 选项 控制 容器 的 生命 周期 以 及 它 的 基本 运作 模式 。 


-a，--attach 


把 指定 的 数据 流 (如 STDOUT 之 类 ) 连接 至 终端 。 若 未 指定 ， 则 默认 连接 stdout 和 
stderr。 若 数据 流 未 指定 ， 而 容器 以 交互 模式 (-i) 启动 ， 则 stdin 也 会 被 连接 至 终端 。 
此 选项 与 -d 选项 不 兼容 。 

-d，--detach 
使 容器 在 “分 离 ”模式 下 运行 。 容 器 会 在 后 台 和 运行， 而 命令 的 返回 值 是 容器 的 ID。 


-i, --interactive 


保持 stdin 打开 (即使 它 没有 被 被 连接 至 终端 ")。 一 般 与 -t 同时 使 用 ， 用 作 启 动 交互 
会 话 的 容器 。 例 如 : 
$ docker run -it debian /bin/bash 


root@bdof26f928bb:/# ls 
. .省 略 ... 




















--restart 


配置 Docker 在 什么 情况 下 尝试 重新 启动 已 过 出 的 容 器 。 参 数 为 no 意味 着 永远 不 会 尝 
试 重新 启动 容器 ; always 指 不 管 退 出 状态 是 什么 ， 总 会 尝试 重新 启动 ，on-failure 仅 
当 退 出 状态 不 为 0 的 时 候 才 会 尝试 重启 ， 并 且 可 以 追加 一 个 可 选 参数 ， 指 定 尝试 重启 
的 次 数 ， 超 过 重启 次 数 就 会 放弃 (如果 没 有 指定 ， 那 就 一 直 重 试 )。 例 如 ，docker run 

-restart on-failure:10 postgres 将 启动 postgres 容器 ， 并 当 退 出 值 不 为 0 的 时 候 ， 
党 试 重启 最 多 10 次 。 


--rm 
退出 时 自动 删除 容器 。 不 能 与 -d 选项 同时 使 用 。 
-七 ，- -tty 


分 配 一 个 伪 终 端 (pseudo-TTY)。 通 常 与 -i 同时 使 用 ， 用 来 启动 交互 式 容器 。 














注 9: 短路 逻辑 指 命令 行 的 某 个 选项 导致 该 选项 后 的 参数 不 会 被 继续 解释 或 执行 。 一 一 译 者 注 
注 10: 如 通过 -a 或 --attach 参数 。 一 一 译 者 注 
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以 下 选项 允许 设置 容器 名 称 和 变量 。 

-e，--env 
设置 容器 内 的 环境 变量 。 例 如 : 
$ docker run -e varl=val -e var2="vaL 2" debian env 
PATH=/usr/LocaL/sbin:/usr/LocaL/bin:/usr/sbin:/usr/bin:/sbin:/bin 
HOSTNAME=b15f833d65d8 
varl=val 


var2=val 2 
HOME=/root 


另外 ，--env-file 选项 可 以 经 文件 传 入 环境 变量 。 
-h, --hostname NAME 
设置 容器 的 unix 主机 名 为 NAME。 例 如 : 


$ docker run -h "myhost" debian hostname 
myhost 





--name NAME 
把 NAME 设置 为 容器 的 名 称 。 以 后 ， 其 他 Docker 命令 便 可 以 使 用 该 名 称 来 称呼 这 个 容器 。 
以 下 选项 允许 用 户 进行 数据 卷 的 设置 ( 详 见 4.5 节 )。 
-V，--VOoLume 
这 个 选项 可 以 用 来 设置 数据 卷 (数据 卷 即 一 个 容器 中 的 文件 或 目录 ， 实 际 属于 主机 的 文 
件 系 统 ， 而 非 容器 的 联合 文件 系统 的 一 部 分 )， 有 两 种 形式 的 参数 可 供 使 用 。 第 一 种 形 


式 仅 指 定 容 器 中 的 目录 ，Docker 会 自行 选 定 一 个 主机 上 的 目录 与 之 绑 定 。 第 二 种 形式 
除了 指定 容器 目录 ， 还 指定 与 容器 目录 绑 定 的 主机 目录 。 


--VOLumes-from 
挂 载 指定 容器 拥有 的 数据 卷 。 经 常用 于 数据 容器 (参见 4.5.2 节 )。 

有 数 个 选项 与 网 络 连接 有 关 。 以 下 是 经 常用 到 的 几 个 基本 命令 。 

- -expose 
与 Dockerfile 的 EXPOSE 指令 功能 一 样 。 指 定 容器 将 会 使 用 的 端口 或 端口 范围 ,但 并 不 会 
把 端口 打开 。 只 有 与 -P 参数 同时 使 用 ， 以 及 在 连接 容器 时 ， 才 有 真正 意义 。 

--Link 
建立 一 个 与 指定 容器 连接 的 内 部 网 络 接口 。 详 情 参 见 4.4 市 。 

-p，--pubLish 
“发 布 ” 容 器 的 端口 ， 使 主机 能 访问 它 。 若 没有 指定 主机 端口 ， 则 会 随机 分 配 一 个 高 端 
口 ， 可 通过 docker port 命令 查看 分 配 了 哪个 端口 。 还 可 以 指定 端口 是 在 主机 的 哪个 网 
络 接口 开放 。 
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-P, --publish-all 
“发 布 ” 所 有 已 指定 为 开放 (exposed) 的 容器 端口 ， 使 主机 能 访问 它们 。 每 个 容器 端口 
均 对 应 一 个 随机 挑选 的 高 端口 。docker port 命令 可 以 用 来 查看 端口 之 间 的 映射 关系 。 
如 果 你 需要 更 高 级 的 联网 功能 ， 还 有 几 个 进 阶 的 选项 可 用 。 但 请 注意 ， 这 些 选 项 中 有 一 些 
要 求 你 对 联网 有 一 定 了 解 ， 以 及 明白 联网 在 Docker 中 如 何 实现 。 欲 了 解 更 多 详情 ， 请 参 
阅 第 11 章 。 
docker run 命令 还 具有 很 多 选项 用 来 控制 容器 的 权限 及 性 能 。 第 13 章 有 更 详细 的 介绍 。 
下 面 的 选项 会 直接 覆盖 Dockerfile 中 的 设置 。 
--entrypoint 
把 参数 指定 为 容器 的 入 口 (entrypoint)， 禾 盖 任何 Dockerfile 中 的 ENTRYPOINT 指令 。 
-U，- -User 


设置 命令 运行 时 所 使 用 的 用 户 。 可 以 以 用 户 名 或 UID 指定 。 此 选项 会 覆盖 Dockerfile 中 
的 USER 指令 。 





























-Ww, --workdir 


将 参数 的 路 径 设置 为 容器 的 工作 目录 。 此 选项 会 覆盖 Dockerfile 中 的 WORKDIR 指令 。 


4.6.2 ”容器 管理 
在 容器 的 生命 周期 中 ， 除 了 docker run 命令 外 ， 以 下 的 docker 命令 也 能 用 于 管理 容器 。 
docker attach [OPTIONS] CONTAINER 

attach 命令 允许 用 户 查 看 容器 内 的 主 进程 ， 或 与 它 进行 交互 。 例 如 : 


$ ID=$(docker run -d debian sh -c "while true; do echo 'tick'; sleep 1; done;") 
$ docker attach $ID 

tick 

tick 

tick 

tick 


这 时 候 ， 如 果 你 按 下 CTRL-C 中 断 命 令 的 话 ， 不 但 进程 会 结束 ， 还 会 导致 容器 退出 。 
docker create 


从 镜像 创建 容器 ， 但 不 启动 它 。 与 docker run 大 部 分 参数 相同 。docker start 命令 可 
以 用 来 启动 容器 。 

docker cp 

在 容器 和 主机 之 间 复制 文件 和 目录 。 


docker exec 
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用 于 执行 维护 工作 ， 或 替代 ssH 用 作 登 入 容器 。 





例如 : 


$ ID=$(docker run -d debian sh -c "while true; do sleep 1; done;") 
$ docker exec $ID echo "Hello" 

Hello 

$ docker exec -it $ID /bin/bash 

rootQ5c6c32041d68: /# ls 

bin dev home lib64 mnt proc run selinux sys usr 


boot etc lib media opt root sbin srv tmp var 
root@5c6c32041d68: /# exit 
exit 


docker kill 








发 送信 号 ee D 1)。 默 认 发 送 SIGKILL 信号 ， 这 将 导致 容 即 退 
出 。 另外， 发 送 的 信号 可 以 通 -s 选项 指定 。 该 命令 会 返回 容器 的 ID。 
例如 : 


$ ID=$(docker run -d debian bash -c \ 

"trap 'echo caught' SIGTRAP; while true; do sleep 1; done;") 
$ docker kill -s SIGTRAP $ID 
e33da73c275b56e734a4bbbefc0b41f6ba84967d09ba08314edd860ebd2da86c 
$ docker Logs $ID 
caught 
$ docker kill $ID 
e33da73c275b56e734a4bbbefc0b41f6ba84967d09ba08314edd860ebd2da86c 


docker pause 


暂停 容器 内 的 所 有 进程 。 进 程 不 会 接收 到 关于 它们 被 暂停 的 任何 信号 ， 因 此 它们 无 法 执 
行 正常 结束 或 清理 的 程序 。 进 程 可 以 通过 docker unpause 命令 重启 。docker pause 的 底 
层 利 用 Linux 的 cgroup freezer 功能 实现 。 这 个 命令 与 docker stop 不 同 ，docker stop 
会 将 所 有 进程 停止 ， 并 对 进程 发 送信 号 ， 让 它们 察觉 得 到 。 


docker restart 


重新 启动 一 个 或 多 个 容器 。 大 致 相当 于 先 对 容器 执行 docker stop， 然 后 执行 docker 
start。-t 为 一 个 可 选 参数 ， 它 指定 一 个 等 待 时 间 ， 即 容器 被 SIGTERM 信号 杀 掉 之 前 ， 
让 容器 有 多 少时 间 关 闭 。 


docker rm 


删除 一 个 或 多 个 容器 。 返 回 值 是 删除 成 功 的 容器 名 称 或 ID。 默 认 情况 下 ，docker rm 不 
会 删除 任何 数据 卷 。-f 参数 可 以 用 来 删除 运行 中 的 容器 ， 而 -v 参数 会 删除 由 容器 创建 
的 数据 卷 (只 要 它们 不 是 绑 定 挂 载 ， 或 正 被 其 他 容器 使 用 )。 


例如 ， 要 删除 所 有 已 停止 的 容器 : 


$ docker rm $(docker ps -aq) 
b7a4e94253b3 
e33da73c275b 
f47074b60757 
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docker start 
启动 一 个 或 多 个 已 停止 的 容器 。 可 以 用 来 重新 启动 已 退出 的 容器 ， 或 启动 由 docker 
create 创建 但 从 未 启动 的 容器 。 

docker stop 
停止 (但 不 删除 ) 一 个 或 多 个 容器 。 对 容器 执行 docker stop 后 ， 它 的 状态 将 转变 为 


“已 退出 ”。-t 为 一 个 可 选 参数 ， 它 指定 一 个 等 待 时 间 ， 即 容器 被 SIGTERM 信号 杀 掉 之 
前 ， 让 容器 有 多 少时 间 关 闭 。 


docker unpause 
重启 先前 被 docker pause 命令 暂停 的 容器 。 


从 容器 分 离 
如 果 你 正 连接 到 一 个 Docker 容器 ， 无 论 容 器 是 以 交互 模式 启动 ， 还 是 通过 
使 用 docker attach， 当 你 试图 以 CTRL-C 断 开 时 ， 容 器 也 会 同时 停止 。 但 
如 果 使 用 CTRL-P CTRL-Q 的 话 ， 就 可 以 从 容器 分 离 ， 而 不 会 停止 容器 。 

个 方法 只 有 在 附 有 TTY 的 交互 模式 下 才 有 效 ( 即 同时 使 用 了 -i 和 -t 
选项 )。 





























4.6.3 ”Docker 信 息 
下 面 的 子 命令 可 以 获取 更 多 有 关 Docker 安装 和 使 用 方法 的 信息 。 
docker info 

打印 Docker 系统 和 主机 的 各 种 信息 。 


docker help 


把 一 个 子 命令 作为 参数 ， 打 印 有 关 该 子 命令 的 使 用 方法 和 帮助 信息 。 相 当 于 运行 命令 时 
提供 --help 参数 。 


docker version 


打印 Docker 客户 端 和 服务 器 版 本 ， 以 及 编译 时 使 用 的 Go 版 本 。 


4.6.4 容器 信息 yoN 
以 下 命令 提供 更 多 有 关 运 行 中 及 已 停止 的 容器 信息 
docker diff 
对 比 容器 所 使 用 的 镜像 ， 显 示 容 器 的 文件 系统 的 变化 。 例 如 : 
$ ID=$(docker run -d debian touch /NEW-FILE) 


$ docker diff $ID 
A /NEW-FILE 
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docker events 
打印 守护 进程 的 实时 事件 。 键 入 Ctrl-C 退出 。 欲 了 解 更 多 信息 ， 请 参阅 第 10 章 。 
docker inspect 
把 容器 或 镜像 作为 参数 ， 获 取 它 们 的 详细 信息 。 这 些 信息 包括 大 部 分 配置 信息 、 联 网 设 
置 以 及 数据 卷 的 映射 信息 。 这 个 命令 接受 -f 参数 ， 让 用 户 提供 一 个 Go 模板 ， 对 输出 
结果 进行 格式 编排 和 信息 过 滤 。 
docker logs 


输出 容器 的 “日 志 ”"， 也 就 是 曾经 输出 到 容器 中 的 STDERR 或 STDOUT 的 内 容 。 更 多 有 关 
Docker 日 志 记 录 的 信息 ， 请 参阅 第 10 章 。 














docker port 


把 容器 作为 参数 ， 列 出 它 的 端口 映射 信息 。 还 可 以 指定 要 查看 的 容器 内 部 端口 和 协议 。 
常用 于 执行 docker run -P <image> 命令 之 后 查看 已 分 配 的 端口 。 


例如 : 


$ ID=$(docker run -P -d redis) 
$ docker port $ID 

6379/tcp -> 0.0.0.0:32768 

$ docker port $ID 6379 
0.0.0.0:32768 

$ docker port $ID 6379/tcp 
0.0.0.0:32768 





docker ps 


提供 关于 当前 容器 的 高 阶 信息 ， 例 如 名 称 、ID 和 状态 。 这 个 命令 支持 很 多 不 同 参 数 ， 
其 中 值得 一 提 的 是 -a 参数 ， 它 可 以 用 来 获取 所 有 容器 的 信息 ， 而 不 仅仅 是 运行 中 的 容 
器 。 还 有 -q 参数 ， 它 使 得 这 个 命令 只 返回 容器 的 ID， 对 于 用 作 其 他 命令 如 docker rm 
的 输入 非常 有 用 。 


docker top 


把 容器 作为 参数 ， 提 供 该 容器 内 运行 中 进程 的 信息 。 实 际 上 ， 这 个 命令 是 在 主机 上 运 
行 UNIX 的 ps 命令 ， 然 后 把 容器 以 外 的 进程 过 着 掉 。 这 个 命令 接受 与 ps 命令 相同 的 参 
数 ， 默 认为 -ef (但 请 注意 ，PID 字段 必须 出 现在 输出 里 )。 


例如 : 


$ ID=$(docker run -d redis) 

$ docker top $ID 

UID PID PPID C STIME TTY TIME CMD 

999 9243 1836 0 15:44 ? 00:00:00 redis-server *:6379 
$ ps -f -u 999 


























UID PID PPID C STIME TTY TIME CMD 

999 9243 1836 0 15:44 ? 00:00:00 redis-server *:6379 
$ docker top $ID -axZ 

LABEL PID TTY STAT TIME COMMAND 


docker-default 9243 ? ssl 0:00 redis-server *:6379 
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4.6.5 ”镜像 管理 


下 





下 的 命令 用 于 镜像 的 创建 和 处 理 。 











docker build 
从 Dockerfile 建立 镜像 。 关 于 使 用 这 个 命令 的 详情 ， 参 见 3.3 节 和 4.2 节 。 


docker commit 
从 指定 的 容器 创建 镜像 。 虽 然 docker commit 在 创建 镜像 时 很 有 用 ,但 由 于 docker 
build 的 可 重复 性 强 ， 因 此 一 般 情况 下 还 是 比较 推荐 使 用 后 者 。 默 认 情 况 下 ， 容 器 在 创 
建 镜像 前 会 先 暂 停 ， 但 这 个 行为 可 以 用 --pause=false 选项 禁止 。 这 个 命令 接受 -a 和 








-m 参数 来 设 定 元 数据 。 
例如 : 


$ ID=$(docker run -d redis touch /new-file) 


$ docker commit -a "Joe Bloggs" -m "Comment" SID commit:test 


ac479108b0fa9a02a7fb290a22dacd5e20c867ec512d6813ed42e3517711a0cf 


$ docker images commit 
REPOSITORY TAG IMAGE ID CREATED 


$ docker run commit:test ls /new-file 
/new-file 


docker export 
将 容器 的 文件 系统 中 的 内 容 以 tar 归档 的 格式 导出 ， 并 输出 到 STDOUT。 生 成 的 归档 可 以 
通过 docker import 导入 。 请 注意 ， 它 只 会 导出 文件 系统 ， 任 何 元 数据 ， 如 映射 端口 、 
CMD 和 ENTRYPOINT 配置 将 会 丢失 。 另 外 ， 数 据 卷 也 不 会 包含 在 导出 归档 中 。 你 可 以 将 这 





VIRTUAL SIZE 
commit test ac479108b0fa About a minute ago 111 MB 




















个 命令 与 docker save 作对 比 。 


docker history 


输出 镜像 中 每 个 镜像 层 的 信息 。 


docker images 


列 出 所 有 本 地 镜像 ， 包 括 库 名 称 、 标 签名 称 以 及 镜像 大 小 等 信息 。 默 认 情 况 下 ， 中 间 镜 


像 (用 于 创建 最 上 一 层 的 镜像 ) 不 会 列 出 。VIRTUAL SIZE 是 镜像 和 它 下 


























硬 的 所 有 镜像 层 





的 总 大 小 。 由 于 这 些 镜 像 层 可 以 与 其 他 镜像 共享 ， 简 单 地 把 所 有 镜像 的 大 小 加 起 来 并 不 
那么 镜像 会 重复 列 出 ， 
你 可 以 通过 比较 ID 来 分 辨 不 同 的 镜像 。 这 个 命令 能 够 接受 几 个 参数 ， 尤 其 值得 一 提 的 
是 -q， 它 使 命令 只 返回 镜像 DD， 方便 用 作 其 他 命令 如 docker rni 的 输入 。 


能 准确 估算 实际 磁盘 的 使 用 情况 。 此 外 ， 如 果 镜 像 有 多 个 标签 ， 


例如 : 
$ docker images | head -4 
REPOSITORY TAG IMAGE ID 
identidock identidock latest 9fc66b46a2e6 
redis latest 868be653dea3 


containersol/pres-base latest 13919d434c95 


CREATED 

26 hours ago 
6 days ago 

2 weeks ago 




















VIRTUAL SIZE 


839.8 MB 
110.8 MB 
401.8 MB 
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| AS 1 立 . 


条 4 和 章 


如 要 删除 所 有 被 遗留 的 镜像 (dangling image) “， 可 以 使 用 以 下 命令 : 


$ docker rmi $(docker ;images -q -f dangling=true) 
Deleted: a9979d5ace9af55a562b8436ba66a1538357bc2e0Qe43765b406f2cf0388fe062 


docker import 


从 一 个 含有 文件 系统 的 归档 文件 创建 镜像 ， 归 档 可 以 由 docker export 产生 。 归 档 可 以 
通过 文件 路 径 或 URL 指定 ， 或 者 通过 STDIN 流 导 入 (使 用 “-” 参 数 )。 命 令 的 返回 值 
是 新 创建 镜像 的 ID 。 可 以 通过 提供 仓库 和 标签 名 称 来 为 镜像 附加 标签 。 要 注意 的 是 ， 
通过 import 生成 的 镜像 只 会 有 一 个 镜像 层 ， 并 会 失去 所 有 的 Docker 配置 信息 ， 如 已 指 
定 为 开放 的 端口 和 CMD 指令 的 值 。 你 可 以 将 这 个 命令 与 docker load 相 比较 。 


看 的 例子 用 先导 出 后 导入 的 方法 ， 将 一 个 镜像 原来 所 有 的 镜像 层 合 为 一 个 。 


$ docker export 35d171091d78 | docker import - flatten:test 
5a9bc529af25e2cf6411c6d87442e0805c066b96e561fbd1935122f988086009 

$ docker history fLatten:test 

IMAGE CREATED CREATED BY SIZE COMMENT 
981804b0c2b2 59 seconds ago 317.7 MB Imported from - 















































本 











docker load 


d 


d 


加 载 仓库 ， 仓 库 以 tar 归档 的 形式 从 STDIN 读 入 。 仓 库 可 以 包含 数 个 镜像 和 标签 。 与 
docker import 不 同 ， 该 镜像 还 包含 历史 和 元 数据 。 适 用 的 归档 文件 可 以 通过 docker 
save 创建 ， 这 使 得 save 和 Load 能 成 为 寄存 服务 器 以 外 用 于 分 发 镜像 及 备份 的 方案 。 相 
关 例 子 参 见 docker save。 


ocker rmi 


删除 指定 的 一 个 或 多 个 镜像 。 镜 像 可 以 用 ID 或 仓库 加 标签 名 称 的 方式 来 指定 。 如 果 指 
定 了 仓库 名 称 ， 但 没有 提供 标签 名 ， 那 么 标签 会 被 默认 为 latest。 要 删除 存在 于 多 个 仓 
库 的 镜像 ， 需 要 用 ID 指定 镜像 ， 并 同时 使 用 -f 参数 ， 而 且 需 要 对 每 个 仓库 分 别 执行 。 


ocker save 


把 指定 的 镜像 或 仓库 储存 到 tar 归档 ， 并 输出 到 STDOUT (如 要 写 入 文件 ， 可 以 使 用 -o 
选项 )。 镜 像 可 以 用 ID 或 repository:tag 的 方式 指定 。 如 果 只 指定 了 仓库 名 称 ， 则 该 
仓库 中 的 所 有 镜像 将 会 被 储存 到 归档 ， 而 不 仅仅 是 带 Latest 标签 的 镜像 。 与 docker 
load 结合 使 用 ， 可 以 用 来 分 发 或 备份 镜像 。 


例如 : 


$ docker save -o /tmp/redis.tar redis:latest 

$ docker rmi redis:latest 

Untagged: redis:latest 

Deleted: 868be653dea3ff6082b043cof34b95bb180cc82ab14a18d9d6b8e27b7929762c 















































六 














主 11: dangling image 指 的 是 一 些 已 经 没有 用 处 的 镜像 ， 它 们 也 没有 被 其 他 镜像 引用， 情况 类 似 编程 语言 




















里 的 dangling pointer 或 dangling reference。docker 没有 垃圾 回收 机 制 ， 因 此 没 用 的 镜像 会 一 直 存 在 ， 
浪费 磁盘 空间 。 译 者 注 
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$ docker load -i /tmp/redis.tar 
$ docker images redis 


REPOSITORY TAG IMAGE ID CREATED 
VIRTUAL SIZE 
redis latest 0f3059144681 3 months ago 
111 MB 

docker tag 


将 镜像 与 一 个 仓库 和 标签 名 称 关 联 。 镜 像 可 以 通过 ID 或 仓库 加 标签 的 方式 指定 (如 未 
提供 标签 名 ， 默 认为 Latest )。 如 果 没 有 为 新 名 称 提供 标签 ， 也 默认 为 Latest 。 


例如 : 


$ docker tag faa2b75ce09a newnane © 

$ docker tag newname:Latest amouat/newnane @ 

$ docker tag newname:Latest amouat/newname:newtag © 

$ docker tag newname:Latest myregistry.com:5000/newname:newtag @ 


@ 把 了 D 为 faa2b75ce09a 的 镜像 添加 到 仓库 newnane， 因 为 没有 指定 标签 名 ， 所 以 标签 
默认 为 Latest。 

@ 把 newname:1latest 镑 像 添加 到 amouat/newname 仓库 ， 这 一 次 也 是 使 用 Latest 标签 。 
这 个 名 称 的 格式 适用 于 把 镜像 推送 到 Docker Hub， 假 设 用 户 为 amouat。 

图 与 上 一 个 命令 一 样 ， 除 了 标签 不 再 是 Latest， 而 是 newtag。 

@ 将 newname:latest 镜像 添加 到 myregistry.com/newname 仓库 ， 并 使 用 newtag 作为 标签 。 
这 个 名 称 的 格式 适用 于 把 镜像 推送 到 位 于 http://myregistry.com:5000 的 寄存 服务 器 。 


4.6.6 ”使 用 寄存 服务 器 


以 下 的 命令 与 使 用 包括 Docker Hub 在 内 的 寄存 服务 器 有 关 。 要 注意 的 是 ，Docker 把 用 户 
凭证 保存 在 你 的 主 目录 中 的 .dockercfg 文件 : 
docker login 
在 指定 的 寄存 服务 器 进行 注册 或 登录 。 如 果 未 指定 服务 器 ， 则 假设 为 Docker Hub。 如 
果 有 和 需要， 程序 将 会 要 求 你 提供 一 些 详细 信息 ， 你 也 可 以 通过 参数 提供 这 些 信息 。 
docker logout 
从 Docker 寄存 服务 器 注销 。 如 果 未 指定 服务 器 ， 则 假定 为 Docker Hub。 
docker pull 
从 寄存 服务 器 下 载 指定 的 镜像 。 寄 存 服务 器 由 镜像 名 称 决定 ， 默 认为 Docker Hub。 若 
没有 提供 标签 名 ， 则 下 载 标签 为 Latest 的 镜像 (如 该 标签 可 用 )。 通 过 -a 参数 可 以 下 
载 仓 库 中 所 有 镜像 。 


docker push 


将 镜像 或 仓库 推送 到 寄存 服务 器 。 如 果 没 有 指定 标签 ， 则 仓库 中 的 所 有 镜像 都 会 推送 到 
服务 器 ， 而 不 仅仅 是 标记 为 Latest 的 镜像 。 
























































邮 


docker search 


列 出 Docker Hub 上 匹配 搜索 词 的 公共 仓库 。 限 制 结果 为 最 多 25 个 仓库 。 过 滤 条 件 还 可 
以 包括 最 低 星 级 以 及 镜像 是 否 自动 生成 。 通 常 ， 在 网 站 上 搜索 会 是 最 便利 的 。 


4.7 ”总结 


这 一 章 的 信息 量 实在 是 太 丰 富 了 ! 即使 只 是 大 概 浏 览 一 下 要 点 ， 你 也 能 了 解 不 少 Docker 
的 工作 原理 和 主要 的 命令 。 在 第 二 部 分 你 将 会 看 到 如 何 将 这 些 知 识 应 用 到 软件 项 目 中 ， 从 
开发 阶段 一 直到 生产 环境 。 通 过 动手 实践 ， 你 将 更 容易 理解 这 一 章 的 内 容 。 
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第 二 部 分 


Docker 与 软件 生命 周期 





第 一 部 分 介绍 了 容器 背后 的 理念 以 及 基本 操作 。 第 二 部 分 将 使 用 Docker 来 构建 、 测 试 和 
部 署 一 个 Web 应 用 程序 ， 以 便 更 深入 地 了 解 Docker。 我 们 将 看 到 如 何在 开发 、 测 试 和 生 
产 环 境 中 应 用 Docker 容器 。 这 一 章 将 集中 讲述 单一 主机 的 系统 ， 而 有 关 在 多 主机 环境 中 
如 何 部 署 和 编排 容 左 的 内 容 将 在 第 三 部 分 介绍 。 


第 二 部 分 结束 后 ， 你 将 明白 如 何 把 Docker 整合 到 软件 开发 过 程 中 ， 并 能 在 日 常 中 自如 地 
使 用 Docker。 为 了 最 大 限度 地 利用 Docker 的 功能 ， 学 会 采用 DevOps 的 思路 是 很 重要 的 。 
特别 是 在 开发 过 程 中 ， 我 们 会 思考 在 生产 环境 中 软件 将 如 何 运 行 ， 这 样 做 能 够 减轻 部 署 到 
各 种 环境 时 将 要 面临 的 痛苦 。 

虽然 在 后 面 的 章节 里 我 们 将 要 建立 的 应 用 程序 很 小 ， 但 是 其 中 涵盖 了 运行 由 大 型 开发 团队 
维护 的 规模 庞大 的 应 用 时 所 需 的 技术 和 实践 。 

容器 不 适合 构建 那 种 发 布 周期 以 周 或 月 为 单位 的 大 型 单一 架构 企业 软件 。 相 反 ， 容 器 天 然 
适合 采用 微服 务 的 方式 ， 以 及 探索 诸如 持续 部 署 (continuous deployment) 这 样 的 技术 ， 使 
得 我 们 能 安全 地 在 一 天 内 多 次 更 新 生产 环境 。 

容器 、DevOps、 微 服务 以 及 持续 交付 (continuous delivery) 的 优势 归根 结 底 源 于 快速 循环 
反馈 的 想法 。 通 过 更 快速 的 迭代 ， 我 们 可 以 在 更 短 的 时 间 内 开发 、 测 试 和 验证 更 高 质量 的 
































第 5 章 


在 开发 中 应 用 Docker 








第 二 部 分 将 开发 一 个 简单 的 Web 应 用 程序 ， 这 个 程序 能 够 对 传人 的 字符 串 返 回 一 个 唯一 的 
图 像 ， 类 似 于 GitHub 和 Stack Overflow 网 站 对 那些 没有 设 定 头 像 的 用 户 使 用 的 identicons 
技术 '。 我 们 将 会 利用 Python 语言 和 Flask Web 框架 编写 这 个 程序 。 我 选择 Python 作为 这 个 
示例 的 编程 语言 ， 因 为 它 很 常用 ， 而 且 简 洁 易 懂 。 即 使 你 不 懂 Python 编程 也 不 用 担心 ， 我 
们 只 会 集中 讨论 怎样 与 Docker 交互 ， 而 不 是 研究 Python 代码 的 细节 。? 同样 ， 选 择 Flask 
的 原因 是 它 很 轻 量 且 易 懂 。Docker 将 会 用 来 管理 所 有 依赖 关系 ， 因 此 完全 不 需要 在 主机 上 
安装 Python 或 Flask。 


在 进入 下 一 章 的 开发 阶段 前 ， 本 章 先 来 让 读者 熟悉 基于 容器 的 工作 流程 ， 并 把 需要 的 工具 
准备 妥当 。 


5.1 说 声 “Hello World!” 


首先 ， 创 建 一 个 只 返回 “Hello World!” 的 Web 服务 。 第 一 步 ， 先 创建 一 个 名 为 identidock 
的 新 目录 作为 我 们 的 项 目 目录 。 在 这 个 目录 里 ， 创 建 一 个 名 为 app 的 子 目录 ，Python 代码 
将 存放 于 此 。 在 app 目录 下 ， 创 建 一 个 名 为 identidock.py 的 文件 : 
$ tree identidock/ 
identidock/ 
[一 app 
[一 identidock.py 





















































1 directory, 1 file 








注 1: identicon 是 一 种 基于 用 户 信息 的 散 列 值 生成 图 像 的 技术 。 一 一 译 者 注 

注 2: 如 果 想 要 了 解 更 多 关于 Python 和 Flask 的 知识 ， 尤 其 是 打算 构造 Web 应 用 的 话 ， 请 参阅 由 Miguel Grinberg 
撰写 的 《Flask Web 开发 : 基于 Python 的 Web 应 用 开发 实战 》 一 书 。( 该 书 已 由 人 民 邮 电 出 版 社 出 版 ， 

书号 : 978-7-115-37399-1。 一 一 编者 注 ) 
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将 下 面 的 代码 放 入 identidock.py: 


from flask import Flask 
app = Flask(_namne _ ) © 


@app.route('/') 加 
def hello_ world(): 
return 'Hello World!\n' 


if _ name == '_ main _': 


app.run(debug=True, host='0.0.0.0') © 

现在 简单 解释 一 下 这 段 代码 。 

@ 对 Flask 进行 初始 化 ， 以 及 建立 一 个 应 用 程序 的 对 象 。 

@ 创建 一 个 与 指定 的 URL 相关 的 route。 每 当 这 个 URL 收 到 请 求 ，hello_world 函数 便 会 
被 调用 。 

加 初始 化 Python 的 Web 服务 器 。 这 里 使 用 0.6.6.0 (而 非 localhost 或 127.0.0.1) 作为 
间 定 主机 的 参数 ， 因 为 我 们 需要 把 它 绑 定 到 所 有 网 络 接口 ， 否 则 这 个 容器 无 法 被 主机 或 
其 他 容器 访问 到 。 前 一 行 的 if 语句 确保 此 行 只 有 在 当 文件 是 以 独立 程序 运行 时 才 会 执 
行 ， 如 果 这 个 文件 只 是 一 个 大 型 应 用 的 一 部 分 ， 那 么 这 一 行 是 不 会 被 执行 的 。 

源 代码 

本 章 的 源 代码 可 以 在 GitHub (https://github.com/using-docker/using_docker_ 
in_dev) 上 找到 。 这 一 章 中 每 个 阶段 的 代码 都 有 对 应 的 git 标签 。 

据 我 所 知 ， 从 电子 书 复制 /粘贴 代码 可 能 会 有 问题 ， 如 果 你 遇 到 类 似 情 况 ， 
请 使 用 GitHub 上 的 源码 库 。 




















现在 需要 一 个 容器 ， 把 代码 放 进 去 并 执行 它 。 在 identidock 目录 下 ， 创 建 一 个 名 为 
Dockerfile 的 文件 ， 并 写 入 以 下 内 容 : 


FROM python:3.4 








RUN pip install FLask==0.10.1 
WORKDIR /app 
COPY app /app 


CMD ["python", "identidock.py"] 


这 个 Dockerfile 使 用 了 已 安装 好 Python 3 的 Python 官方 基础 镜像 。 在 镜像 之 上 ， 它 会 安装 
Flask， 并 把 我 们 的 代码 复制 进去 。CMD 命令 只 运行 我 们 的 identidock 代码 。 














官方 镜像 的 变种 
许多 流行 的 编程 语言 ， 例 如 Python、Go 和 Ruby， 它 们 的 官方 仓库 中 都 有 多 个 镜像 以 
供 不 同 用 途 。 除 了 不 同 版 本 的 镜像 ， 你 可 能 还 会 发 现 以 下 的 变种 中 的 至 少 一 个 。 





slim 


这 种 镜像 是 标准 镜像 的 精简 版 本 。 它 们 缺少 很 多 常见 的 软件 包 和 库 。 当 你 为 了 发 布 
而 需要 减少 镜像 的 大 小 时 ， 这 样 做 是 理所当然 的 ， 但 如 果 刚 好 需要 用 到 那些 从 标准 
镜像 中 移 除了 的 软件 包 的 话 ， 安 装 和 维护 它们 往往 会 带 来 额外 的 负担 。 


onbuild 


这 种 镜像 使 用 Dockerfile 的 ONBUILD 指令 ， 它 会 把 某 些 命令 廷 后 至 继承 这 个 onbuild 
镜像 的 “ 子 镜像 ”中 执行 ， 而 执行 的 时 刻 便 是 新 建 这 个 子 镜像 的 时 候 。 这 些 命令 具 
体 被 处 理 的 时 刻 是 子 镜像 的 FROM 指令 执行 的 时 候 ， 而 通常 做 的 事情 包括 把 代码 复 
制 进来 以 及 运行 编译 步 又。 这 些 镜 像 对 于 一 门 编程 语言 来 说 ， 可 以 让 用 户 更 快 和 更 
容易 上 手 ， 但 长 远 来 看 ， 它 们 往往 有 诸多 限制 ， 而 且 容 易 造 成 混乱 。 我 一 般 不 会 推 
戎 使 用 onbuild 镜像 ， 除 非 是 第 一 次 对 它 的 镜像 库 进 行 探索 。 


在 我 们 的 应 用 程序 示例 中 ， 使 用 的 是 一 个 标准 的 Python 3 基础 镜像 ， 而 非 它 的 任何 一 
个 变种 。 








现在 ， 


可 以 构建 和 运行 我 们 的 简单 应 用 了 : 


$ cd identidock 
$ docker build -t identidock . 


$ docker run -d -p 5000:5000 identidock 
Qc75444e8f5f16dfeSacebQaae074cc33dfc06f2d2fb6adb773ac51f20605aa4 


的 输 





在 这 里 ， 我 把 -d 选项 传 给 docker run， 让 它 在 后 台 启 动容 器 ， 但 如 果 想 看 到 Web 服务 器 





， 也 可 以 把 它 省 略 。-p 5000:5060 参数 告诉 Docker， 我 们 要 将 容器 的 5000 端口 转发 


到 主机 上 的 5000 端口 。 


现在 来 测试 一 下 : 


$ curl localhost:5000 
Hello World! 


Docker Machine 的 IP 地 址 

如 果 你 是 通过 Docker Machine 来 运行 Docker 的 话 ( 辟 如 曾 使 用 Mac 或 
Windows 的 Docker 工具 箱 来 安装 Docker)， 你 将 无 法 使 用 localhost 作为 
URL， 而 是 必须 使 用 Docker 虚拟 机 的 全 地 址 。 通 过 Docker machine 的 ip 
命令 可 以 帮助 我 们 把 这 个 步骤 自动 化 。 例 如 : 


$ curl $(docker-machine ip defauLt) :5000 
Hello World! 


本 书 假设 Docker 是 在 本 地 运行 ， 因 此 务必 在 有 需要 的 时 候 将 localhost 换 成 
合适 的 卫 地 址 。 
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非常 好 ! 但 是 ， 目 前 这 个 工作 流程 有 一 个 比较 严重 的 问题 ， 即使 代码 只 有 少许 改变 ， 我 们 
也 需要 重新 创建 镜像 ， 并 且 重 启 容器 。 幸 好 ， 有 一 个 简单 的 解决 方法 。 我 们 可 以 把 主机 上 
的 源码 目录 绑 定 挂 载 (bind mount) 到 容器 内 的 源码 目录 之 上 。 下 面 的 代码 将 停止 并 删除 
上 次 运行 的 容器 〈 假 如 刚才 的 例子 不 是 最 后 运行 的 容器 ， 请 通过 docker ps 找 出 它 的 ID)， 
然后 代码 会 挂 载 到 /app， 并 且 启 动 一 个 新 的 容器 : 

$ docker stop $(docker ps -1q) 

Qc75444e8f5f 


$ docker rm $(docker ps -1q) 
$ docker run -d -p 5000:5000 -v "SPND"/app:/app identidock 


-Vv "$PWD"/app:/app 参数 把 位 于 /app 的 app 目录 挂 载 到 容器 内 。 它 将 履 盖 容器 中 /app 目录 
的 内 容 ， 而 且 在 容器 内 还 可 以 进行 读 写 (如 果 你 不 希望 这 样 ， 也 可 以 把 数据 卷 挂 载 为 只 
读 )。 参 数 -v 必须 是 绝对 路 径 ， 因 此 在 这 个 例子 中 ， 我 们 在 当前 的 目录 前 加 上 $PWD， 不仅 
可 以 节省 键入 的 字数 ， 还 能 提高 可 移植 性 。 
绑 定 挂 载 
假如 你 使 用 docker run 的 时 候 ， 通 过 -v HOST_DIR:CONTAINER_DIR 参数 来 指 
定数 据 卷 使 用 的 主机 目录 ， 这 个 做 法 一 般 被 称 为 “ 绑 定 挂 载 ” ， 因 为 它 将 
主机 上 的 目录 (或 文件 ) 与 容器 中 的 目录 (或 文件 ) 绑 定 。 这 个 称呼 或 
许 会 造成 一 些 混 请 ， 因 为 所 有 数据 卷 技 术 上 都 是 绑 定 挂 载 的 ， 只 不 过 当 
没有 明确 指定 主机 目录 的 时 候 ， 我 们 需要 花 点 工夫 把 目录 找 出 来 。 
注意 ， 主 机 目录 (HOST_DIR) 指 运行 Docker 引擎 的 机 器 。 如 果 你 远程 连 
接 到 Docker 服务 的 话 ， 那 么 远 端 的 计算 机 上 必须 已 经 存在 该 路 径 。 如 
你 正在 使 用 由 Docker machine 部 署 的 本 地 虚拟 机 (如 果 你 通过 Docker 工 
具 箱 来 安装 Docker)，Docker 会 把 你 的 home 目录 互相 挂 载 ， 使 你 的 开 
发 过 程 更 轻松 。 
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验证 一 下 我 们 的 容器 仍 在 工作 : 


$ curl localhost:5000 
Hello World! 


虽然 我 们 刚才 挂 载 的 目录 ， 与 镜像 中 COPY 命令 所 添加 的 目录 所 用 的 路 径 相 同 ， 但 现在 这 个 
目录 在 主机 上 和 容器 上 都 是 同一 个 ， 而 并 非 从 镜像 复制 得 来 的 。 正 因为 如 此 ， 现 在 我 们 可 
以 在 主机 上 编辑 identidock.py， 并 能 立即 看 到 变化 : 

$ sed -i '' s/World/Docker/ app/identidock.py 


$ curl localhost:5000 
Hello Docker! 


这 里 我 用 sed 工具 对 identidock.py 文件 做 了 一 个 快速 的 原 地 更 改 。 如 果 你 的 机 器 上 没有 安装 
sed， 或 者 你 对 它 不 熟悉 ， 你 可 以 用 任何 一 个 文本 编辑 器 ， 直 接 把 “World” 改 成 “Docker 。 
现在 ， 我 们 有 了 一 个 相当 标准 的 开发 环境 ， 除 了 程序 依赖 的 东西 一 一 包括 Python 编译 器 
以 及 程序 库 ， 其 他 的 东西 都 已 封装 在 Docker 容器 中 。 然 而 ， 仍 有 一 个 关键 问题 有 待 解 决 。 
现在 还 无 法 在 生产 环境 中 使 用 这 个 容器 ， 主 要 原因 是 它 运 行 的 是 默认 的 Flask Web 服务 器 ， 
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而 它 仅 适合 于 开发 环境 ， 在 实际 执行 时 ， 它 的 效率 很 低 ， 而 且 不 够 安全 。 采 用 Docker 的 
一 个 关键 因素 在 于 ， 它 能 减少 开发 和 生产 环境 之 间 的 差异 ， 来 看 看 如 何 能 做 到 这 一 点 。 











什么 ? 没有 virtualenv ? 


如 果 你 是 一 个 经 验 丰 富 的 Python 开发 者 ， 你 可 能 会 对 没有 使 用 virtualenv (https:// 
virtualenv.pypa.io/en/latest/) 来 开发 我 们 的 程序 而 感到 惊 谎 。 对 于 隔离 多 个 Python 
环境 ，virtualenv 是 个 非常 有 用 的 工具 。 它 允许 开发 者 为 每 个 应 用 程序 配置 不 同 的 
Python 版 本 和 所 需 的 程序 库 。 一 般 而 言 ， 它 在 开发 Python 程序 中 扮演 着 非常 重要 的 角 
色 , 使 用 率 也 相当 高 。 

但 当 你 使 用 容器 后 ， 它 就 变 得 没有 那么 有 用 了 ， 因 为 我 们 已 经 有 了 一 个 隔离 环境 。 如 
果 已 经 习惯 了 使 用 virtualenv， 你 当然 可 以 继续 在 容器 中 使 用 它 ， 但 它 能 带 来 的 好 处 或 
许 就 不 多 了 ， 除 非 你 遇 到 容器 内 的 其 他 应 用 程序 或 库 造 成 的 冲突 。 











uWSGI (https://uwsgi-docs.readthedocs.org/en/latest/) 是 一 个 可 立即 用 于 生产 环境 的 应 用 服 
务 器 ， 它 还 可 以 部 署 在 Web 服务 器 (例如 nginx) 的 后 面 。 使 用 uWSGI 而 非 默认 的 Flask 
Web 服务 器 ， 能 使 我 们 的 容器 非常 灵活 ， 适 用 于 各 种 环境 。 只 需 改 动 Dockerfile 中 的 两 行 
代码 ， 便 可 将 容器 过 渡 到 uWSGI: 


FROM python:3.4 














RUN pip install FLask==0.10.1 uWSGI==2.0.8 © 
WORKDIR /app 
COPY app /app 


CMD ["uwsgi", "--http", "0.0.0.0:9090", "--wsgi-file", "/app/identidock.py", \ 
"--callable", "app", "--stats", "0.0.0.0:9191"] © 
@ 添加 uWSGI 到 Python 包 的 安装 列表 。 
创建 一 个 运行 wwWSGI 的 新 命令 。 这 里 我 们 告诉 uWSGI 启动 一 个 监听 9090 端口 的 
HTTP 服务 器 ， 并 从 /app/identidock.py 运行 app 应 用 。 它 还 在 9191 端口 启动 一 个 数据 
统计 服务 器 。 其 实 我 们 还 可 以 在 运行 docker run 命令 时 ， 重 新 定义 CMD 的 内 容 。 
现在 让 我 们 构建 并 运行 它 ， 看 看 有 什么 区 别 : 


$ docker build -t identidock . 


























Successfully built 3133f91af597 

$ docker run -d -p 9090:9090 -p 9191:9191 identidock 
00d6fa65092cbd91a97b512334d8d4be624bf730fcb482d6e8aecc83b272f130 
$ curL LocaLhost:9090 

Hello Docker! 


如 果 现 在 执行 docker logs 并 赋予 容器 ID ， 那 么 会 看 到 uWSGI 的 日 志 信息 ， 这 样 就 可 以 确 
认 我 们 的 确 是 在 运行 UWSGI 有 上 服务器。 此外， 我 们 还 要 求 UWSGI 披露 一 些 统计 数据 ， 这 些 
数据 可 以 在 http://localhost:9191 看 到 。 由 于 程序 不 是 直接 在 命令 行 中 执行 ， 那 段 通常 用 于 
启动 默认 Web 服务 器 的 Python 代码 并 没有 执行 。 
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虽然 现在 服务 器 可 以 如 常 工作 ， 但 仍 有 一 些 清 理工 作 要 做 。 如 有 果 检 查 一 下 uWSGI 的 日 志 ， 
会 发 现 服务 器 明确 指出 它 正 以 root 身份 运行 。 这 是 一 个 毫 无 意义 的 安全 漏洞 ， 要 解决 它 其 
实 非 常 容易 ， 只 需 在 Dockerfile 中 指定 用 于 运行 服务 器 的 用 户 即 可 。 与 此 同时 ， 我 们 还 会 
显 式 地 声明 容器 监听 的 端口 


FROM python:3.4 


RUN groupadd -r uwsgi && useradd -r -g uwsgi uwsgi ©@ 
RUN pip install FLask==0.10.1 uyuWSGI==2.0.8 

WORKDIR /app 

COPY app /app 


EXPOSE 9090 9191 © 
USER uwsgi © 


CMD ["uwsgi", "--http", "0.0.0.0:9090", "--wsgi-file", "/app/identidock.py", \ 
"--callable", "app", "--stats", "0.0.0.0:9191"] 


新 加 的 几 行 指令 解释 如 下 。 
@ 创建 uwsgi 用 户 和 用 户 组 ， 这 是 Unix 系统 惯常 的 做 法 。 


@ 使 用 EXPosE 指令 声明 主机 和 其 他 容器 可 以 访问 的 端口 。 
@ 以 uwsgi 用 户 执行 这 一 行 之 后 的 所 有 指令 (包括 CMD 和 ENTRYPOINT ) 。 


容器 内 的 用 户 和 用 户 组 

Linux 内 核 使 用 UID 和 GID 来 识别 用 户 ， 并 决定 他 们 的 访问 权限 。 将 UID 
和 GID 映射 到 标识 符 是 由 操作 系统 的 用 户 空 间 处 理 的 。 正 因为 如 此 ， 容 器 中 
的 UID 和 主机 上 的 UID 是 相同 的 ， 但 在 容器 内 创建 的 用 户 和 用 户 组 并 不 会 
传播 到 主机 。 这 个 做 法 的 坏处 是 会 让 访问 权限 变 得 混乱 : 相同 的 文件 ， 在 容 
器 内 和 容器 外 显示 的 拥有 者 有 可 能 不 一 样 。 下 面 的 例子 给 出 了 相同 的 文件 ， 
但 它 的 拥有 者 却 改 变 了 : 


$ 1s -1 test-file 

-rw-r--r-- 1 docker staff 0 Dec 28 18:26 test-fiLe 
$ docker run -it -v $(pwd)/test-file:/test-file 

debian bash 

root@e877f924ea27:/# ls -L test-file 

-rw-r--r-- 1 1000 staff 0 Dec 28 18:26 test-file 
root@e877f924ea27:/# useradd -r test-user 
root@e877f924ea27:/# chown test-user test-file 
root@e877f924ea27:/# 1s -1 /test-file 

-rw-r--r-- 1 test-user staff 0 Dec 28 18:26 /test-file 
root@e877f924ea27: /# exit 



































exit 
docker@boot2docker:~$ 1s -1 test-file 
-rw-r--r-- 1 999 staff 0 Dec 28 18:26 test-file 


与 平时 一 样 构建 镜像 ， 然 后 测试 新 的 用 户 设置 : 


$ docker build -t identidock . 
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$ docker run identidock whoami 

Uwsgi 
请 注意 ， 我 们 已 经 把 原来 调用 Web 服务 器 的 CMD 指令 替换 为 whoani 命令 ， 而 这 个 命令 
会 返回 它 在 容器 内 运行 时 的 用 户 名 称 。 
永远 谨 记 设置 USER 
在 任何 Dockerfile 中 ， 把 USER 设置 妥当 都 是 非常 重要 的 (也 可 以 在 ENTRYPOINT 
或 CMD 脚本 内 改变 执行 用 户 )。 如 果 你 不 这 样 做 ， 容 器 中 的 进程 将 会 以 root 
身份 运行 。 由 于 容器 和 主机 的 UID 是 共享 的 ， 假 如 攻击 者 成 功 入 侵 容 器 ， 他 
就 能 获得 主机 的 root 权限 。 
目前 正在 进行 把 容器 的 root 用 户 自动 映射 到 主机 上 一 个 高 UID 用 户 的 工作 ， 
但 撰写 本 书 的 时 候 (Docker 版 本 1.8) ， 这 个 功能 尚未 完成 。” 









































太 好 了 ， 现 在 容器 内 的 命令 便 不 会 再 以 root 身份 运行 了 。 让 我 们 再 次 局 动容 器， 但 这 次 稍 
稍 改变 一 下 使 用 的 参数 : 

$ docker run -d -P --name port-test identidock 
这 一 次 没有 指定 主机 上 绑 定 哪些 端口 。 相 反 ， 我 们 使 用 -P 参数 ，Docker 会 随机 选择 一 些 
高 端口 ， 并 自动 将 它们 映射 到 容器 的 每 一 个 已 声明 为 “exposed” 的 端口 。 在 能 够 访问 容器 
的 服务 之 前 ， 需 要 询问 Docker， 它 随机 选择 的 端口 是 什么 : 

$ docker port port-test 


9090/tcp -> 0.0.0.0:32769 
9191/tcp -> 0.0.0.0:32768 








可 以 看 到 ， 它 把 9090 端口 与 主机 的 32769 端口 绑 定 ， 而 9191 端口 则 与 主机 的 32768 端口 绑 
定 ， 现 在 我 们 知道 通过 哪些 端口 来 进行 访问 了 (注意 ， 你 的 端口 很 可 能 和 这 里 的 不 一 样 ) : 


$ curl localhost:32769 
Hello Docker! 


起 初 ， 这 样 做 似乎 是 毫 无 意义 的 额外 步骤 ， 而 在 这 个 示例 中 ， 这 样 做 的 确 没 有 必要 ， 但 
当 你 需要 在 一 台 主 机 上 运行 多 个 容器 的 时 候 ， 让 Docker 自动 寻找 并 映射 到 未 使 用 的 端 
比 你 自己 跟踪 哪些 端口 更 轻松 。 

那么 ， 我 们 现在 已 经 把 一 个 与 生产 环境 非常 接近 的 Web 服务 运行 起 来 了 。 对 一 个 实际 的 生 
产 环境 而 言 ， 还 有 很 多 东西 需要 调整 ， 诸 如 uWSGI 中 关于 进程 和 线程 的 选项 ， 但 是 对 比 
那个 默认 用 于 调试 的 Python Web 服务 器 ， 我 们 现在 的 差距 已 经 缩小 了 很 多 。 


可 是 ， 现 在 要 面 对 一 个 新 的 问题 : 我 们 失去 了 一 些 开发 工具 ， 例 如 调试 输出 ， 以 及 由 默认 
的 Python Web 服务 器 提供 的 实时 重新 加 载 代 码 的 功能 。 虽 然 我 们 可 以 大 大 缩小 开发 环境 
和 生产 环境 之 间 的 差异 ， 但 它们 仍然 有 着 根本 不 同 的 需求 ， 这 将 导致 在 不 同 环境 下 运行 时 
无 可 避免 地 需要 一 些 更 改 。 理 想 情 况 下 ， 我 们 还 是 希望 在 开发 和 实际 应 用 时 能 够 使 用 相同 
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注 3: Docker 1.10 已 实现 将 root 用 户 映射 到 主机 的 一 个 普通 用 户 ， 但 不 是 默认 行为 。 一 一 译 者 注 
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的 镜像 ， 按 照 所 在 的 运行 环境 ， 在 启用 的 功能 上 作出 微调 。 为 了 实现 这 一 目标 ， 我 们 可 以 
通过 环境 变量 和 一 个 简单 的 脚本 ， 按 实际 的 运行 环境 切换 不 同 功能 。 
在 Dockerfile 的 同一 目录 下 ， 创 建 一 个 名 为 cmd.sh 的 脚本 ， 并 写 入 以 下 内 容 : 


#!/bin/bash 
set -e 








if [ "$ENV" = 'DEV' ]; then 
echo "Running Development Server" 
exec python "identidock.py" 
else 
echo "Running Production Server" 
exec uwsgi --http 0.0.0.0:9090 --wsgi-file /app/identidock.py \ 
--callable app --stats 0.0.0.0:9191 
fi 














这 个 脚本 的 含义 应 该 相当 清楚 了 。 如 果 ENV 变量 设 定 为 DEV， 那 么 它 将 运行 调试 用 的 Web 
服务 器 ， 否 则 使 用 生产 服务 器 。* 其 中 的 exec 命令 的 目的 是 为 了 避免 创建 一 个 新 进程 ， 以 
确保 uwsgi 进程 能 够 收 到 所 有 信号 (如 SIGTERM) ， 而 不 是 被 父 进程 所 拦截 。 


善 用 配置 文件 和 辅助 脚本 


为 了 简单 起 见 ， 我 将 所 有 东西 放 在 Dockerfile 内 。 但 是 ， 随 着 应 用 程序 的 增 
长 ， 还 是 尽量 把 它 的 内 容 移 到 辅助 文件 和 脚本 比较 好 。 尤 其 是 pip 的 依赖 关系 
应 该 移 到 requirements.txt 文件 ， 而 uWSGI 的 配置 则 可 以 移 到 一 个 .ini 文件 。 























接 下 来 需要 更 新 Dockerfile， 使 它 能 用 上 这 个 脚本 : 


FROM python:3.4 


RUN groupadd -r uwsgi && useradd -r -g uwsgi uwsgi 
RUN pip install Flask==0.10.1 UNSGI==2.0.8 

WORKDIR /app 

COPY app /app 

COPY cmd.sh /©@ 


EXPOSE 9090 9191 
USER uwsgi. 


CMD ["/cnd.sh"] @ 
@ 把 脚本 放 进 容器 。 
@ 从 CMD 指令 调用 它 。 
在 我 们 尝试 这 个 新 版 本 之 前 ， 古 时 候 把 那些 仍 在 运行 的 旧 容 器 停 掉 。 下 面 的 命令 将 停 
止 并 删除 主机 上 的 所 有 容器 。 如 果 有 任何 容器 你 仍 希 望 保留 ， 那 么 请 千 万 不 要 运行 这 


个 命令 : 


























注 4: 现在 有 一 些 变量 ， 例 如 端口 号 ， 在 不 同 的 文件 中 重复 出 现 。 我 们 可 以 通过 使 用 参数 或 环境 变量 来 解决 
这 个 问题 。 
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$ docker stop $(docker ps -q) 
c4b3d240f187 
9be42abaf902 
78af7d12d3bb 


$ docker rm $(docker ps -aq) 
1198f8486390 
c4b3d240f187 
9be42abaf902 
78af7d12d3bb 


现在 可 以 重建 附 有 这 个 脚本 的 镜像 ， 然 后 进行 测试 : 


$ chmod +x cmd.sh 
$ docker build -t identidock . 


$ docker run -e "ENV=DEV" -p 5000:5000 identidock 
unning Development Server 

*Running on http://0.0.0.0:5000/ (Press CTRL+C to quit) 
*Restarting with stat 


很 好 。 现 在 当 我 们 以 -e "ENV=DEV" 运行 的 话 ， 就 得 到 一 个 开发 用 的 服务 器 ， 否 则 得 到 的 是 





一 个 用 于 生产 环境 的 服务 器 。 


开发 用 服务 器 

你 可 能 会 发 现 ， 在 开发 过 程 中 默认 的 Python 服务 器 无 法 满足 你 的 需求 ， 尤 
其 是 当 你 需要 把 多 个 容器 连接 起 来 时 。 若 是 如 此 ， 则 可 以 在 开发 时 使 用 
uUWSGI。 不 过 你 仍然 需要 切换 环境 的 能 力 ， 使 你 可 以 打开 一 些 生产 环境 中 不 
应 使 用 的 uWSGI 功能 ， 壁 如 实时 重新 加 载 代码 。 





5.2 通过 Compose 实 现 自动 化 





最 后 ， 还 有 一 些 东西 可 以 自动 化 ， 使 事情 变 得 更 简单 。Docker Compose (http://docs.docker. 
com/compose/) 旨 在 迅速 建立 和 运行 Docker 开发 环境 。 大 体 上 ， 它 使 用 YAML 文件 来 存 
储 不 同 容器 的 配置 ， 节 省 开发 者 重复 且 容 易 出 错 的 输入 ， 以 及 避免 了 自行 开发 解决 方案 的 
负担 。 因 为 我 们 的 应 用 很 简单 ， 所 以 它 不 会 为 我 们 带 来 太 多 好 处 ， 但 当 你 的 应 用 开始 变 得 





复杂 时 ， 它 就 能 发 挥 所 长 了 。Compose 将 使 我 们 免 于 自己 维护 用 于 服务 编排 的 脚本 ， 
启动 、 连 接 、 更 新 和 停止 容器 。 


包括 

















如 果 你 的 Docker 是 使 用 Docker 工具 箱 来 安装 的 话 ， 你 应 该 已 经 安装 了 Compose。 如 果 没 
有 ， 请 按照 Docker 网 站 (http://docs.docker.com/compose/install/) 的 指示 进行 安装 。 我 在 
本 章 中 所 使 用 的 Compose 版 本 为 1.4.0， 但 因为 我 们 用 到 的 只 是 基本 功能 ， 所 以 1.2 以 后 的 








版 本 已 足够 。 
请 在 identidock 目录 中 创建 一 个 名 为 docker-compose.yml 的 文件 ， 并 写 入 以 下 内 容 : 
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identidock: @ 
build: . @ 
ports: © 
- "5000:5000" 
environment: @ 
ENV: DEV 
volunes: © 
- ./app:/app 


@ 第 一 行 声 明 构 建 的 容器 名 称 。 一 个 YAML 文件 中 可 以 定义 多 个 容器 (在 Compose 的 术 
语 中 称 为 服务 ) 。 

@ 这 里 的 build 关 键 字 告诉 Compose， 这 个 容器 的 镜像 是 通过 当前 目录 (.) 下 的 
Dockerfile 构建 。 每 个 容器 的 定义 必须 包括 一 个 build 或 image 关键 字 。image 关键 字 的 
值 ， 是 用 于 启动 容器 的 镜像 的 标签 或 ID， 与 docker run 命令 的 参数 相同 。 

图 ports 关键 字 相 当 于 docker run 命令 的 -p 参数 ， 用 于 声明 对 外 开放 的 端口 。 这 里 我 们 
把 容器 的 5000 端口 映射 到 主机 的 5000 端口 。 列 出 端口 时 可 以 不 带 引 号 ， 但 最 好 避免 这 
样 做 ， 因 为 当 遇 到 像 56:56 这 种 值 的 时 候 ，YAML 会 把 它 解 析 为 以 60 为 基数 的 六 十 进 
制 数字 。 

@@ environment 关键 字 相 当 于 docker run 命令 的 -e 参数 ， 用 来 设置 容器 的 环境 变量 。 为 
了 运行 用 于 开发 的 Flask Web 服务 器 ， 这 里 我 们 把 ENV 变量 设 成 DEV 。 

@ volunes 关键 字 相 当 于 docker run 的 -v 参数 ， 用 于 配置 数据 卷 。 这 里 与 之 前 的 做 法 一 
样 ， 将 app 目录 通过 绑 定 挂 载 的 方式 挂 载 到 容器 ， 以 便 让 我 们 能 够 从 主机 修改 代码 。 

还 有 更 多 的 关键 字 可 以 在 Compose 的 YAML 文件 中 设置 ， 通 常 它 们 都 与 docker run 的 参 

数 有 一 对 一 的 关系 。 

如 果 现 在 运行 docker-compose up， 会 得 到 与 之 前 执行 docker run 命令 几乎 一 模 一 样 的 结果 : 


$ docker-compose up 

Creating identidock identidock 1... 

Attaching to identidock identidock_1 

identidock_1 | Running DeveLopment Server 
identidock_1 | * Running on http://0.0.0.0:5000/ 
identidock 1 | * Restarting with reloader 


到 另 一 个 终端 下 执行 : 


$ curL LocaLhost:5000 
Hello Docker! 


当 应 用 程序 运行 完毕 ， 可 以 键入 ctrl-c 来 停止 容器 。 


如 要 切换 到 uWSGI 服务 器 ， 我 们 需要 更 改 YAML 文件 中 的 environment 和 ports 值 。 可 
以 通过 编辑 现 有 的 docker-compose.yml 文件 ， 或 者 专门 为 生产 环境 创建 一 个 新 的 YAML 文 
件 ， 并 在 执行 docker-compose 时 使 用 -f 参数 或 COMP0SE_FILE 环境 变量 指定 它 。 


使 用 Compose 的 工作 流程 


下 面 是 使 用 Compose 时 常用 的 命令 。 大 多 数 命令 都 不 言 自 明 ， 而 且 Docker 也 有 同样 名 字 
的 命令 ， 不 过 还 是 值得 在 这 里 提 一 下 。 
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up 
启动 所 有 在 Compose 文件 中 定义 的 容器 ， 并 且 把 它们 的 日 志 信息 汇集 一 起 。 通 常会 使 
用 -d 参数 使 Compose 在 后 台 运 行 。 

build 


重新 建造 由 Dockerfile 构建 的 镜像 。 除 非 镜 像 不 存在 ， 否 则 up 命令 不 会 执行 构建 的 动 
作 ， 因 此 需要 更 新 镜像 时 便 使 用 这 个 命令 。 




















ps 
获取 由 Compose 管理 的 容器 的 状态 信息 

run 
启动 一 个 容器 ， 并 运行 一 个 一 次 性 的 命令 。 被 连接 的 容器 会 同时 启动 ， 除 非 用 了 - -no 
deps 参数 

Logs 
汇集 由 Compose 管理 的 容器 的 日 志 ， 并 以 彩色 输出 。 

stop 


停止 容器 ， 但 不 会 删除 它们 。 


rm 

















删除 已 停止 的 容器 。 不 要 忘记 使 用 -v 参数 来 删除 任何 由 Docker 管理 的 数据 卷 。 


一 个 普通 的 工作 流程 以 docker-compose up -d es docker -compose 
logs 和 ps 命令 可 以 用 来 验证 应 用 程序 的 状态 能 帮助 调试 。 


修改 代码 后 ， 先 执行 docker-compose build 构建 新 的 镜像 ， 然 后 执行 docker-compose up 

-d 取代 运行 中 的 容器 。 注 意 ，Compose 会 保留 原来 容器 中 所 有 旧 的 数据 卷 ， 这 意味 着 即 
使 容器 更 新 后 ， 数据 库 和 缓存 也 依旧 在 容器 内 (这 很 可 能 会 造成 混淆 ， 因 此 要 特别 小 心 )。 
如 果 你 修改 了 Compose 的 YAML 文件 ， 但 不 需要 构建 新 镜像 ， 可 以 通过 up -d 参数 使 
Compose 以 新 的 配置 替换 容器 。 如 果 想 要 强制 停止 Compose 并 重新 创建 所 有 容器 ， 可 以 使 
用 - -force-recreate 选项 来 达到 目的 。 


当 你 不 再 需要 使 用 该 应 用 时 ， 可 以 执行 docker-compose stop 来 停止 应 用 程序 。 假 设 代码 
没有 变更 ， 可 以 通过 docker-compose start 或 up 来 重启 相同 的 容器 。 使 用 docker-compose 
rm 彻底 把 容器 删除 。 


关于 所 有 命令 的 完整 概览 ， 请 参阅 Docker 网 站 上 的 参考 信息 页 (https://docs.docker.com/ 
compose/reference/) 。 


5.3 总 结 


现在 我 们 已 经 拥有 适合 工作 的 环境 ， 可 以 用 来 开发 我 们 的 应 用 程序 了 。 本 章 中 我 们 学 习 到 
了 很 多 东西 ， 包 括 : 
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。 在 主机 上 无 需 安 装 任何 工具 的 情况 下 ， 如 何 利 用 官方 镜像 快速 创建 一 个 可 移植 和 可 重复 
创建 的 开发 套件 

。 如 何 通 过 使 用 数据 卷 来 动态 修改 容器 中 的 代码 

。 如 何在 容器 中 同时 维护 生产 环境 和 开发 环境 

。 如 何 通 过 使 用 Compose 将 开发 流程 自动 化 

Docker 给 了 我 们 一 个 熟悉 的 开发 环境 ， 以 及 所 需要 的 一 切 工 具 ， 同 时 ， 它 也 提供 了 一 个 与 

生产 环境 极其 相似 的 环境 ， 我 们 可 以 在 其 中 进行 快速 测试 。 

我 们 还 有 很 多 事情 要 做 ， 特 别 是 关于 测试 和 持续 集成 /交付 ， 在 接 下 来 的 几 章 里 ， 我 们 会 

逐步 在 开发 过 程 中 学 会 这 些 技巧 。 
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创建 一 个 简单 的 Web 应 用 








本 章 将 会 把 “Hello World!” 程 序 转变 为 一 个 简单 的 Web 应 用 ， 当 用 户 输 入 文字 时 ， 能 够 
生成 一 幅 独 一 无 二 的 图 像 。 这 些 


2 





可 用 于 识别 用 户 。 





"0 identicon， 它 们 都 是 唯一 的 ， 由 用 户 名 或 
完 本 章 ， 你 将 得 到 一 个 基本 可 用 的 应 用 ， 并 在 后 面 的 





























市 中 继续 扩展 它 ， 对 它 进行 名 和 神 试验 。 通过 创建 这 个 应 用 ， 我 们 将 会 看 到 如 何 把 Docker 
容器 组 建成 -个 功 人 E 全 面 的 系统 ， 并 如 何 自然 地 发 展 至 微服 务 架构 。 











favicon 。 





行 生 成 图 像 。 





从 那 以 后 ，identicon 有 过 几 


identicon 是 基于 某 个 值 而 自动 产生 的 图 像 ， 这 个 值 一 般 是 IP 地 址 或 用 户 名 的 散 列 值 。 
这 个 图 像 提 供 了 某 个 对 象 的 一 个 视觉 表达 ， 使 它 易于 识别 。 其 用 途 包 括 : 通过 计算 用 
户 名 或 卫 地 址 的 散 列 值 ， 在 网 站 上 提供 用 于 识别 用 户 的 图 像 ， 以 及 自动 生成 网 站 的 


identicon 于 2007 年 初 由 Don Park 始 创 ， 他 为 自己 的 博客 开发 出 一 套用 于 识别 评论 者 
身份 的 程序 ,程序 代码 仍然 可 以 在 该 项 目的 GitHub 页 面 (https://github.com/donpark/ 
identicon) 找到 。 











等 其 他 项 目 。 


次 使 用 不 同 的 图 形 样 式 的 改进 。Stack Overflow 和 GitHub 
( 见 图 6-1， 左 ) 是 产生 identicon 的 两 大 网 站 ， 它 们 都 把 identicon 应 用 于 尚未 设置 自 定义 
头像 的 用 户 。Stack Overflow 使 用 由 Gravatar 服务 生成 的 图 像 ( 见 图 6-1， 右 )。'GitHub 则 自 


identicon 











注 1: 而 Gravatar 背后 使 用 的 技术 则 来 








WP_Identicon (http://scott.sherrillmix.com/blog/blogger/wp_identicon/) 
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UL ， 
四 四 一 
PE 


图 6-1: ( 左 ) 典型 的 GitHub identicon;，( 右 ) 典型 的 Gravatar identicon 








如 果 你 已 经 跟着 上 一 章 一 起 做 ， 那 么 你 现在 应 该 有 一 个 类 似 以 下 结构 的 项 目 : 


identidock/ 

HF Dockerfile 

| 一 app 

| “一 identidock.py 


六 cmd.sh 


[一 docker -compose.ymL 


如 果 你 没有 跟着 做 也 不 用 担心 。 你 可 以 在 本 书 的 GitHub 页 再 
dockercreating-a-simple-web-app) 获得 代码 。 例 如 : 

















(https://github.com/using- 


$ git clone -b vO https://github.com/using-docker/creating-a-simple-web-app/ 





除 此 之 外 ， 你 也 可 以 在 GitHub 项 目的 发 布 页 面 上 下 载 代码 文件 。 
v9 标签 代表 代码 在 上 一 章 结尾 时 的 版 本 ， 当 我 们 不 断 往 前 推进 时 ， 标 签 也 会 不 断 更 新 。 
版 本 控制 


本 书 假设 你 具备 使 用 Git 推送 (push) 和 复制 (clone) 仓库 的 知识 。 后 面 的 
章节 还 会 介绍 Docker Hub 与 GitHub 和 BitBucket 如 何 结合 使 用 。 如 果 你 还 
不 是 很 懂得 Git 的 使 用 ， 可 以 查阅 https:Wtry.github.io， 那 里 有 免费 的 教程 供 
学 习 。 











6.1 创建 一 个 基本 网 页 


作为 创建 应 用 的 第 一 步 ， 让 我 们 先 建立 一 个 很 基本 的 网 页 。 为 简单 起 见 ， 我 们 将 只 以 字符 
串 的 形式 返回 HTML。 把 identidock.py 替换 成 以 下 的 内 容 : 


from flask import Flask 





app = Flask(__name_) 





注 2: 一 个 更 好 的 方案 是 使 用 模板 引擎 ， 璧 如 Flask 自 带 的 Jinja2。 
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default_name = 'Joe BLoggs' 


@app.route('/') 
def mainpage(): 


name = defauLt_name 


header = '<html><head><title>Identidock</title></head><body>' 
body = '''<form method="POST"> 
Hello <input type="text" name="name" value="{}"> 
<input type="submit" value="submit"> 
</form> 
<p>You look like a: 
<img src="/monster/monster.png"/> 
'''.format(name) 
footer = '</body></html>' 


return header + body + footer 


if _ name == '_ main _': 


app.run(debug=True, host="'0.0.0.0') 
说 实话 ， 这 和 之 前 的 “Hello World!” 程 序 相 比 差异 并 不 大 。 我 们 只 古 把 返回 的 文本 改 成 一 
小 段 HTML 的 页 面 ， 其 中 包括 用 户 输入 名 字 的 表格 。format 函数 会 把 子 字符 串 "{}" 替换 
为 nane 变量 的 值 ， 我 们 暂且 把 变量 的 值 设 定 为 “Joe Bloggs”。 
执行 docker-compose up -d， 然 后 打开 浏览 器 访问 地 址 http://localhost:5000， 可 以 看 到 如 图 
6-2 所 示 的 页 面 。 





























Hello Joe Bloggs submit 


You look like a: 局 











6-2: 首次 打开 identidock 页 面 的 样子 
图 像 无 法 显示 是 预料 之 中 的 ， 因 为 还 没有 加 入 任何 生成 图 像 的 代码 。 同 样 ， 提 交 按 钮 也 无 
法 使 用 。 


开发 到 了 这 个 阶段 ， 把 自动 化 测试 甚至 是 持续 集成 /交付 结合 到 开发 过 程 当中 是 个 明智 之 
举 。 不 过 ， 为 了 叙述 方便 起 见 ， 我 们 会 先 多 做 一 点 开发 ， 然 后 在 接 下 来 的 章 季 中 引入 测试 
和 持续 集成 。 


6.2 ”利用 现 有 镜像 


现在 是 时 候 让 我 们 的 程序 发 挥 真 正 的 功用 了 。 我 们 需要 一 个 国 数 或 服务 ， 输 入 一 个 字符 串 
就 能 输出 并 返回 一 个 独一无二 的 图 像 。 有 了 这 个 功能 之 后 ， 我 们 就 可 以 根据 用 户 在 网 页 上 
提供 的 名 字 ， 通 过 调用 它 来 获得 一 个 图 像 ， 然 后 把 损坏 的 图 像 奉 换 掉 。 


这 个 示例 中 会 使 用 一 个 现 有 的 Docker 镜像 dnmonster， 它 恰恰 具备 了 刚才 我 所 说 的 功能 ， 
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而 且 还 提供 了 (差不多 的 ) RESTful API 供 我 们 使 用 。 我 们 还 可 以 用 另 一 个 identicon 月 
































及 务 


将 dnmonster 轻松 替换 掉 ， 特 别 是 如 果 那 个 服务 也 提供 了 RESTful API 并 已 包装 成 容器 。 
从 已 有 的 代码 中 调用 它 ， 我 们 需要 做 一 些 修改 ， 主 要 是 添加 一 个 新 的 get_identicon 国 数 ; 


from flask import Flask, Response © 
import requests 加 


app = Flask(__name ) 
default_name = 'Joe Bloggs' 


@app.route('/') 
def mainpage(): 


name = default_name 


header = '<html><head><title>Identidock</title></head><body>' 
body = '''<form method="POST"> 
Hello <input type="text" name="name" value="{}"> 
<input type="submit" value="submit"> 
</form> 
<p>You Look like a: 
<img src="/monster/monster.png"/> 
'''.format(name) 
footer = '</body></html>" 


return header + body + footer 


@app.route('/monster/<name>') 
def get identicon(name): 


r = requests.get('http://dnmonster:8080/monster/' + name + '?size=80') © 
image = r.content 


return Response(image, mimetype='image/png') @ 


if _ name _ == '_ main _': 
app.run(debug=True, host='0.0.0.0') 


@ 导入 Flask 的 Response 模块 ， 用 它 来 返回 图 像 。 





@ 导入 Requests 库 (http://docs.python-requests.org/en/latest/)， 用 于 与 dnmonster 服务 通信 。 











全 发 送 一 个 HTTP GET 请 求 到 dnmonster 服务 。 我 们 希望 得 到 一 个 对 应 name 变量 值 的 








identicon， 而 它 的 大 小 是 80 像素 。 








@ 这 里 的 return 语句 稍微 有 点 复杂 ， 因 为 我 们 需要 用 Response 函数 来 告诉 Flask， 我 人 





回 的 是 一 个 PNG 图像， 而 不 是 HTML 或 文本 。 
接 下 来 需要 对 Dockerfile 做 一 个 小 修改 ， 使 我 们 的 新 代码 能 使 用 正确 的 程序 库 : 


FROM python:3.4 


p 





RUN groupadd -r uwsgi && useradd -r -g uwsgi uwsgi 

RUN pip install FLask==0.10.1 uWSGI==2.0.8 requests==2.5.1 ©O 
WORKDIR /app 

COPY app /app 





COPY cmd.sh / 


EXPOSE 9090 9191 
USER uwsgi 


CMD ["/cmd.sh"] 
@ 添加 了 前 面 的 Python 代码 中 用 到 的 Requests 库 。 


现在 已 经 准备 就 绕 ， 可 以 启动 dnmonster 容器 ， 然 后 让 它 连接 到 应 用 程序 容器 。 为 了 和 弄 清 
楚 背 后 发 生 的 事情 ， 我 们 会 先 用 普通 的 Docker 命令 操作 一 次 ， 之 后 才 会 转 用 Compose。 
由 于 这 是 我 们 第 一 次 使 用 dnmonster 镜像 ， 需 要 从 Docker Hub 下 载 它 


$ docker build -t identidock . 





























$ docker run -d --name dnmonster amouat/dnmonster:1.0 
Unable to find image 'amouat/dnmonster:1.0' locally 
1.0: Pulling from amouat/dnmonster 


Status: Downloaded newer image for amouat/dnmonster:1.0 
e695026b14f7d0c48f9f4b110c7c06ab747188c33fc80ad407b3ead6902feb2d 


现在 我 们 会 使 用 与 前 一 章 几 乎 相同 的 方法 启动 应 用 容器 ， 只 是 多 了 参数 --link dnmonster: 
dnmonster， 这 个 参数 的 目的 是 把 两 个 容器 相连 。 这 使 得 可 以 在 Python 代码 里 通过 地 址 
http://dnmonster:8080 访问 dnmonster 服务 : 





$ docker run -d -p 5000:5000 -e "ENV=DEV" --Link dnmonster:dnmonster identidock 
16ae698a9c705587f6316a6b53dd0268cfc3d263f2ce70eada024ddb56916e36 


有 关连 接 的 详细 信息 /LGA， 参见 见 4. 4 节 了 
如 果 再 次 打开 浏览 器 访问 http:/localhost5000， 应 该 会 看 到 类 似 图 6-3 的 画面 。 


























Hello Joe Bloggs submit 


You look like a: 








6-3: 第 一 个 identicon 


然 它 看 起 来 不 怎么 样 ， 但 这 是 我 们 的 第 一 个 identicon。 提 交 按钮 还 未 生效 ， 因 此 我 们 还 
ee 不 过 很 快 就 会 解决 这 个 问题 。 我 们 先 把 Compose 重 拾 起 来 ， 
不 然 还 要 记 住 那些 docker run 命令 。 按 照 以 下 内 容 更 新 docker-compose.yml: 


identidock: 
build: . 
ports: 

- "5000:5000" 
environment: 
ENV: DEV 

volumes: 





























./app:/app 
links: ©@ 
- dnmonster 


dnmonster: @ 
image: amouat/dnmonster:1.0 


@@ 声明 一 个 从 identidock 容器 到 dnmonster 容器 的 连接 。Compose 会 负责 处 理 容器 的 正确 
启动 顺序 ， 使 连接 能 成 功 建立 。 

@ 定 义 一 个 新 的 dnmonster 容器 。 我 们 只 需 告 诉 Compose， 使 用 来 自 Docker Hub 的 
amouat/dnmonster:1.0 镜像 。 


启动 应 用 程序 之 前 ， 我 们 需要 移 除 之 前 启动 过 的 任何 容器 


docker rm $(docker stop $(docker ps -q)) 





























注意 ， 这 一 指令 会 停止 所 有 运行 中 的 容器 ， 并 不 仅 限于 identidock 容器 。 接 着 使 用 
Compose 来 重建 和 运行 应 用 程序 : 


$ docker-compose build 


$ docker-compose up -d 


现在 应 用 程序 应 该 可 以 重新 运行 了 ， 并 且 无 需 重启 容器 即 可 更 新 代码 。 

要 使 按钮 生效 ， 我 们 需要 处 理发 送 到 服务 器 的 PosT 请 求 ， 并 使 用 form 变量 〈 它 包含 了 用 
户 名 ) 以 生成 图 像 。 另 外 ， 我 们 对 用 户 输入 的 处 理 过 于 简单 ， 因 此 我 打算 对 用 户 的 输入 进 
行 散 列 处 理 。 这 样 做 ， 可 以 把 任何 类 似 电子 邮件 地 址 的 敏感 输入 信息 匿名 化 ， 还 能 确保 输 
入 是 适用 于 URL 的 格式 ( 即 不 再 需要 对 诸如 空格 等 字符 进行 转 义 )。 在 我 们 的 应 用 中 ， 是 
否 使 用 散 列 值 并 不 重要 ， 因 为 处 理 的 只 是 名 字 ， 但 这 一 用 法 展示 了 如 何在 其 他 情况 下 利用 
这 个 服务 ， 以 及 如 何 保护 任何 偶然 输入 敏感 信息 的 人 。 


更 新 identicon.py 的 内 容 如 下 : 


from flask import Flask, Response, request 
import requests 
import hashLib ©@ 













































































app = Flask(__name ) 
salt = "UNIQUE_SALT™” @ 
default_name = 'Joe Bloggs' 


@app.route('/', methods=['GET', 'POST']) © 
def mainpage(): 

name = default_name 

if request.method == 'P0ST': @ 


name = request.form[ 'name '] 


salted name = salt + name 





name_hash = hashlib.sha256(salted_name.encode()).hexdigest()@ 


header = '<html><head><title>Identidock</title></head><body>' 
body = '''<form method="POST"> 
Hello <input type="text" name="name" value="{}"> 
<input type="submit" value="submit"> 
</form> 
<p>You look like a: 
<img src="/monster/{1}"/> 
'''.format(name, name_hash) @ 
footer = '</body></html>" 


return header + body + footer 


@app.route('/monster/<name>') 
def get identicon(name): 


r = requests.get('http://dnmonster:8080/monster/' + name + '?size=80') 
image = r.content 


return Response(image, mimetype='image/png') 


if _ name == '_ main _': 
app.run(debug=True, host='0.0.0.0') 


@ 导入 对 用 户 输入 进行 散 列 处 理 的 程序 库 。 由 于 它 是 一 个 标准 库 ， 无 需 修改 Dockerfile 就 
可 以 安装 它 。 

@ 定义 散 列 函 数 的 salt 值 。 通 过 改变 这 个 值 ， 相 同 的 输入 在 不 同 的 网 站 可 以 生成 不 一 样 
的 identicon 。 

@ Flask 的 route 默认 只 会 响应 HTTP GET 的 请 求 。 因 为 我 们 的 表单 提交 的 是 HTTP PosT 请 
求 ， 所 以 必须 给 route 的 声明 加 入 以 methods 命名 的 参数 ， 明 确 宣告 route 可 以 处 理 POST 
和 GET 两 种 请 求 。 

@ 如 果 request.method 等 同 于 "P0ST"， 该 请 求 必 定 来 自 点 击 提交 按钮 。 在 此 情况 下 ， 需 
要 把 用 户 输入 的 值 赋予 name 变量 。 

@ 对 输入 执行 SHA256 算法 ， 以 获取 散 列 值 

@ 用 散 列 值 改变 图 像 的 URL。 这 将 使 得 浏 


identicon, 


保存 刚才 的 修改 后 ， 调 试用 的 Python Web 服务 器 就 能 看 到 程序 的 改变 并 自动 重启 。 现 在 
终于 可 以 一 睹 我 们 完整 的 web 应 用 ， 看 看 你 的 identicon 长 什么 样子 吧 ( 见 图 6-4)。 













































































法 





器 在 加 载 图 像 的 时 候 ， 以 散 列 值 调 用 get_ 























Hello Gordon the Turtle submit 


You look like a: 


6-4: 很 像 小 乌龟 Gordon 的 identicon? 











注 3: Gordon 是 Docker 公司 在 办 公 室 里 饲养 的 完 物 乌 包 。 一 一 译 者 注 
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dnmonster 
dnmonster 镜像 是 一 个 封装 在 Docker 容器 中 的 Node.js 应 用 程序 。 这 个 应 用 程序 移植 自 
Kevin Guadin 的 monsterid.js (https://github.com/KevinGaudin/monsterid.js)， 原 本 以 浏览 
器 的 JavaScript 运行 ， 移 植 后 以 Node.js 运行 。 而 Monsterid.js 本 身 是 基于 Andreas Gohr 
的 MonsterID (http://www.splitbrain.org/projects/monsterid)， 它 能 够 创建 像 RetroAvatar 
中 的 那些 8 位 机 像素 风格 的 怪兽 。 你 可 以 在 GitHub (https://github.com/amouat/dnmonster) 
上 找到 dnmonster 项 目 。 


与 monsterid.js 不 同 ，dnmonster 不 会 对 输入 进行 任何 散 列 处 理 ， 而 只 会 把 决定 权 交 给 
调用 程序 ( 见 图 6-5) 。 


和 二 夫 总 县 困 澡堂 幸 


6-5: 怪兽 























6.3 ”实现 缓存 功能 


目前 为 止 ， 一切 都 很 顺利 。 但 是 ， 目 前 我 们 的 应 用 还 有 一 个 令 人 头疼 的 事情 (除了 怪兽 的 
样子 ) ， 那 就 是 每 请 求 一 个 怪兽 ， 都 需要 调用 一 次 dnmonster 服务 ， 而 每 次 调用 都 涉及 大 量 
运算 。 这 样 做 其 实 没 有 必要 。identicon 的 原意 就 是 对 于 相同 的 输入 ， 图 像 维持 不 变 ， 因 此 
我 们 应 该 把 结果 缓存 起 来 。 


我 们 将 使 用 Redis 帮助 我 们 实现 这 一 目标 。Redis 是 一 个 存储 于 内 存 的 键 值 数据 库 。 它 非常 
适合 像 我 们 这 种 没有 庞大 信息 量 的 任务 ， 我 们 也 不 用 担心 数据 的 持久 性 (如果 某 个 条 目 丢 
失 或 删 控 ， 只 需 重新 生成 图 像 就 好 )。 可 以 把 Redis 服务 器 添加 到 我 们 的 identidock 容器 ， 
但 启动 一 个 新 的 容器 会 更 容易 ， 而 且 更 符合 Docker 的 使 用 习惯 。 这 样 就 可 以 利用 Docker 
Hub 上 已 有 的 官方 Redis 镜像 ， 也 就 避免 了 在 容器 中 运行 多 个 进程 的 麻烦 。 


















































在 一 个 容器 中 运行 多 个 进程 
大 多 数 容器 只 运行 一 个 进程 。 当 需要 运行 多 个 进程 时 ， 最 好 还 是 使 用 多 个 容器 ， 并 把 
它们 连接 起 来 ， 如 同 这 个 示例 中 的 做 法 一 样 。 
不 过 ， 有 时 候 你 真 的 需要 在 一 个 容器 内 运行 多 个 进程 。 若 是 如 此 ， 你 最 好 使 用 进程 
管理 器 来 负责 进程 的 启动 和 监视 ， 例 如 supervisord (http://supervisord.org/) 或 runit 
(http://smarden.org/runit/)。 你 也 可 以 写 一 个 简单 的 脚本 来 负责 进程 的 启动 ， 但 你 必须 
清楚 ， 这 样 做 的 话 ， 你 便 需 要 处 理 进程 结束 后 的 善后 工作 ， 还 要 负责 转发 信号 。 
有 关 在 容器 内 使 用 Supervisord 的 更 多 信息 ， 请 参阅 这 篇 Docker 文章 : https://docs. 
docker.comy/engine/admin/using_supervisord/。 














太后 
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首先 需要 更 新 我 们 的 Python 代码 ， 使 它 能 够 使 用 缓存 : 


from flask import Flask, Response, request 
import requests 

import hashlib 

import redis ©@ 





app = Flask(__name_ ) 

cache = redis.StrictRedis(host='redis', port=6379, db=0) ©@ 
salt = "UNIQUE_SALT" 

default_name = 'Joe BLoggs' 


@app.route('/', methods=['GET', 'POST']) 
def mainpage(): 


name = defauLt_name 
if request.method == "POST ' : 
name = request.form['name '] 


salted name = salt + name 
name_hash = hashlib.sha256(salted name.encode()).hexdigest() 
header = '<html><head><title>Identidock</title></head><body>' 
body = '''<form method="POST"> 
Hello <input type="text" name="name" value="{}"> 
<input type="submit" value="submit"> 
</form> 
<p>You look like a: 
<img src="/monster/{1}"/> 
'''.format(name, name_hash) 
footer = '</body></html>' 


return header + body + footer 


Qapp.route(' /monster/<name> ' ) 
def get identicon(name): 


image = cache.get(name) © 
if image is None: @ 
print ("Cache miss", flush=True) © 
r = requests.get('http://dnmonster:8080/monster/' + name + '?size=80') 
image = r.content 
cache.set(name, image) @ 


return Response(image, mimetype='image/png') 


if _ name _ == '_ main _': 
app.run(debug=True, host='0.0.0.0') 
@ 导入 Redis 模块 。 


@ 建立 Redis 缓存 。 我 们 将 通过 Docker 连接 的 特性 ， 使 redis 这 个 主机 名 能 够 被 解析 。 
@ 检查 名 字 是 否 已 经 在 缓存 中 。 
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@ 如 采 缓 存 示 命中 ，Redis 将 返回 
identicon， 不 过 我 们 还 会 …… 
@ 输出 一 些 调试 信息 ， 表 示 我 们 没有 在 缓存 中 找到 区 














@ 把 图 像 添加 到 缓存 中 ， 并 与 名 字 相 关联 。 
由 于 我 们 引入 了 一 个 新 模块 和 新 容器 ， 也 就 不 得 不 同时 更 新 Dockerfile 和 docker-compose. 


yml 





。 首 先是 Dockerfile: 


FROM python:3.4 











None。 在 这 种 情况 下 ， 程 序 就 像 往常 一 样 获取 





像 ， 以 及 A 


RUN groupadd -r uwsgi && useradd -r -g uwsgi uwsgi 
RUN pip install FLask==0.10.1 uWSGI==2.0.8 requests==2.5.1 redis==2.10.3 © 


WORKDIR /app 
COPY app /app 
COPY cmd.sh / 


EXPOSE 9090 9191 
USER uwsgi 


CMD ["/cmd.sh"] 


@ 我 们 只 需 安装 Python 的 Redis 客户 端 库 。 


这 是 更 新 后 的 docker-compose.yml: 





identidock: 

build: . 
ports: 

- "5000:5000" 
environment: 

ENV: DEV 
volumes: 

- ./app:/app 
Links : 

- dnmonster 

-redis ©@ 


dnmonster: 
image: amouat/dnmonster:1.0 


redis: 
image: redis:3.0 @ 


@ 建立 与 Redis 容器 的 连接 。 

@ 创建 一 个 基于 官方 Redis 镜像 的 容器 。 
现在 ， 如 果 你 先 用 docker-compose stop 停 上 LE identidock， 可 以 用 docker-compose build 和 
docker-compose up 来 启动 新 版 本 。 因 为 我 们 并 没有 在 功能 上 做 任何 改变 ， 所 以 你 应 该 不 会 
发 现 新 版 本 有 什么 不 一 样 的 地 方 。 如 果 你 想 确 认 新 代码 真 的 已 经 在 执行 ， 那 么 可 以 查看 调 
试 信息 ; 或者， 如果 你 还 是 不 太 放 心 的 话 ， 试 试 接 上 一 个 监控 工具 ， 例 如 第 10 章 将 会 介 
绍 的 Prometheus， 看 看 当 你 给 应 用 程序 产生 负载 时 会 发 生 什么 事情 。 
























































6.4 微服 务 


我 们 已 经 根据 微服 务 架构 开发 了 identidock 应 用 程序 ， 因 为 这 个 系统 是 由 多 个 独立 的 小 服 
务 所 组 成 的 。 这 种 风格 往往 被 拿 来 和 单一 服务 架构 比较 ， 单 一 服务 架构 指 的 是 该 系统 包含 
在 一 个 单独 的 大 型 的 服务 之 中 。 尽 管 identidock 是 一 个 比较 儿戏 的 应 用 程序 ， 它 毕竟 还 是 
凸显 了 微服 务 风格 的 一 些 特征 。 


假如 采用 单一 服务 架构 实现 的 话 ， 那 就 等 于 dnmonster、Redis 以 及 identidock 全 都 使 用 同 
一 种 编程 语言 实现 ， 并 且 它 们 必须 融 为 一 体 ， 在 同一 个 容器 中 和 运行。 如 果 设 计 得 宜 ， 那 么 
一 整个 程序 中 的 不 同 部 件 可 以 被 拆 分 成 单独 的 库 ， 并 尽 可 能 使 用 现 有 的 库 。 

相 比 之 下 ， 我 们 的 identidock 应 用 由 三 个 容器 组 成 ， 其 中 有 一 个 用 Python 写成 的 Web 程 
序 ， 它 与 一 个 用 JavaScript 写成 的 服务 ， 以 及 一 个 用 C 语言 实现 的 键 值 数据 库 通 信 。 后 面 
的 章节 中 将 介绍 如 何 用 少量 的 工作 来 使 更 多 的 微服 务 接 入 identidock， 包 括 第 9 章 的 反 向 
代理 ， 以 及 第 10 章 的 监控 和 日 志 记 录 方 案 。 


采取 这 种 方法 有 几 个 优点 。 微 服务 架构 的 系统 很 适合 横向 扩展 到 多 人 台 机 器 。 微 服务 能 够 轻 
公 快 速 地 被 其 他 效能 更 高 且 功 能 相同 的 服务 替代 。 假 如 发 生意 外 情况 ， 可 以 只 对 部 分 微服 
务 进行 回 深 ， 而 无 需 把 系统 的 其 他 部 分 一 并 关闭 。 不 同 的 微服 务 可 以 用 不 同 的 语言 实现 ， 
使 开发 者 能 够 选择 适用 于 手头 任务 的 语言 。 

但 微服 务 也 有 不 足 之 处 ， 主 要 在 于 分 布 式 组 件 所 导致 的 额外 开销 。 它 们 之 间 的 通信 必须 通 
过 网 络 ， 而 不 是 库 的 调用 。 我 们 必须 使 用 Compose 这 样 的 工具 ， 以 确保 所 有 组 件 同 时 启动 
并 连接 正确 。 服 务 编排 和 服务 发 现成 为 吸 需 解决 的 重要 问题 。 
微服 务 能 够 提供 更 高 的 扩展 能 力 以 及 灵活 性 ， 使 得 新 式 的 互联 网 应 用 从 中 受益 良 多 ， 这 一 
点 已 经 在 Netfix、 亚 马 进 和 SoundCloud 等 公司 身上 得 以 证 明 。 鉴 于 此 ， 微 服务 将 会 是 一 
个 意义 重大 且 影 响 巨 大 的 架构 ， 不 过 和 众多 技术 一 样 ， 它 也 并 非 万 能 。” 


6.5 总结 


现在 ,我 们 的 应 用 已 经 基本 可 用 了 。 虽 然 它 还 很 简单 ， 但 已 具备 足够 多 的 功能 ， 能 以 多 个 
容器 的 方式 实现 ， 并 突出 强调 了 在 开发 中 使 用 容器 时 需要 注意 的 事项 。 我 们 已 经 了 解 了 如 
何 重 复 使 用 现 有 的 镜像 ， 无 论 是 作为 构建 应 用 的 基础 〈 例 如 我 们 使 用 的 Python 基础 镜像 )， 
还 是 像 黑 盒 般 只 用 于 提供 某 个 服务 〈 例 如 dnmonster 镜像 ) 。 


最 重要 的 是 ， 我 们 还 看 到 了 容器 如 何 自然 演变 成 一 组 具有 明确 功能 的 小 服务 ， 它 们 可 以 交 
互 形成 一 个 更 大 的 系统 。 这 就 是 微服 务 架 构 。 



























































































































































注 4: 更 多 关于 微服 务 优 缺 点 的 信息 ， 可 以 参考 Martin Fowler 的 文章 ， 其 中 包括 “Microservices” (http:// 


martinfowler.comyarticles/microservices.html) 。 
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镜像 分 发 














一 旦 创建 好 了 镜像 ， 你 应 该 希望 其 他 人 也 能 够 使 用 ， 无 论 是 分 享 给 你 的 同事 、 持 续集 成 的 
服务 器 ， 还 是 最 终 用 户 。 有 几 种 方法 可 以 用 来 分 发 镜像 : 从 Dockerfile 重新 构建 、 从 寄存 
服务 器 下 载 ， 或 通过 docker Load 命令 从 归档 文件 安装 。 








本 章 将 深入 探讨 这 些 方法 之 间 的 差异 ， 以 及 研究 为 
方案 。 我 们 将 看 到 如 何 给 identidock 镜像 加 标签 并 i 
他 部 分 中 使 用 ， 并 提供 给 他 人 下 载 。 





团队 内 和 
和 其 上 传 





团队 外 的 用 户 分 发 镜像 的 最 佳 





， 使 得 它 可 以 在 工作 流程 的 其 





本 章 的 代码 见于 本 书 的 GitHub 仓库 (https://github.com/using-docker/image- 
dist)。v9 标签 代表 代码 在 上 一 章 结尾 时 的 版 本 ， 当 我 们 不 断 往 前 推进 时 ， 标 
签 也 会 不 断 更 新 。 用 以 下 命令 获取 这 个 版 本 的 代码 : 








$ git clone -b vO \ 


https://github.com/using-docker/image-dist/ 





除 此 以 外 ， 还 可 以 在 GitHub 项 目的 Releases 页 面 (https://github.com/using- 
docker/image-dist/releases) 下 载 各 个 标签 的 代码 。 





7.1 镜像 及 镜像 库 的 命名 方式 


之 前 的 3.4 市 中 已 经 介绍 了 如 何 给 镜像 指定 合适 的 标签 ， 


并 把 它们 上 传 到 远程 仓库 。 分 发 








镜像 的 时 候 使 用 能 精确 描述 镜像 的 名 称 和 标签 是 非常 重要 的 。 下 面 来 重 温 一 下 ， 指 定 镜 像 
的 名 称 和 标签 有 两 种 方法 ， 一 是 在 构建 镜像 的 时 候 ， 二 是 通过 docker tag 命令 : 
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@ 把 amouat/identidock 名 称 与 镜像 关联 ， 这 


标签 名 称 必 须 遵 循 一 些 规 贝 
的 长 度 必须 为 1~128 个 字符 。 


$ cd identidock 


$ docker build -t "identidock:0.1" . © 
$ docker tag "identidock:0.1" "amouat/identidock:0.1" © 


@ 指定 仓库 名 称 为 identidock， 标签 为 0.1。 








amouat 的 用 户 。 


当心 Latest 标签 





名 称 指 镜像 属于 Docker Hub 上 用 户 名 为 


别 让 Latest 标签 误导 你 ! 当 没 有 指定 标签 的 时 候 ，Docker 会 使 用 这 个 标签 作 
为 默认 值 ， 但 除 此 之 外 ， 它 不 具备 任何 特殊 含义 。 很 多 仓库 都 会 把 它 作为 最 


新 的 稳定 版 镜像 的 别名 ， 但 这 只 不 过 是 一 个 惯例 ， 而 并 非 出 于 任何 严格 规定 。 
与 所 有 其 他 镜像 一 样 ， 即 使 有 新 版 本 被 推送 到 寄存 服务 器 ，latest 标签 的 镜 











像 也 不 会 自动 更 新 





你 仍 需 明确 执行 docker pull 命令 来 获取 最 新 版 本 。 


当 执 行 docker run 或 docker pull 时 ,如果 指 定 的 镜像 名 称 不 带 标 签 ， 那 么 
Docker 就 会 使 用 带 Latest 标签 的 镜像 ， 如 果 的 确 存在 这 样 一 个 镜像 ， 否 则 





就 会 报错 。 








在 面向 公众 的 仓库 中 。 














由 于 很 多 用 户 弄 不 明白 Latest 标签 ， 或许 你 应 该 考虑 干脆 不 使 用 它 ， 











是 


1， 必 须 由 大 写 或 小 写字 母 、 数 字 ， 以 及 . 和 - 符号 组 成 。 它 们 
第 一 个 字符 不 能 是 . 或 - 符号 。 


建立 开发 工作 流程 时 ， 仓 库 和 标签 的 命名 是 非常 重要 的 。 对 于 正确 的 命名 ，Docker 的 限制 
非常 少 ， 而 且 人 允许 随时 创建 和 删除 名 称 。 这 意味 着 建立 并 实施 可 行 的 命名 方案 的 主动 权 掌 
担 在 开发 团队 手中 。 


7.2 Docker Hub 


让 你 的 镜像 能 够 供 别 人 使 用 ， 最 直接 的 方法 就 是 使 用 Docker Hub。Docker Hub 是 Docker 
公司 提供 的 一 个 线 上 镜像 寄存 服务 。 对 于 公开 的 镜像 ，Docker Hub 提供 免费 的 仓库 ， 用 户 


也 可 以 付费 获得 私有 仓库 。 























其 他 私有 托管 服务 
Docker Hub 并 非 唯 一 的 能 








企 网 上 提供 私有 仓库 的 地 方 。 本 书写 作 之 际 ，quay. 


io 是 这 里 的 一 个 主要 的 竞争 者 ， 它 以 具有 竞争 优势 的 价格 提供 比 Docker Hub 


还 要 多 的 功能 。 


上 传 jdentidock 镜像 非常 容易 。 假 设 已 经 有 了 Docker Hub 的 账户 ,' 可 以 直接 在 命令 行 中 执 





行 以 下 操作 : 
时 








E 1: 如 果 还 设 有 账号 ， 你 可 以 在 https://hub.docker.com 注册 一 个 。 
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$ docker tag identidock:latest amouat/identidock:0.1 © 

$ docker push amouat/identidock:0.1 @ 

The push refers to a repository [docker.io/amouat/identidock] (len: 1) 
76899e56d187: Image successfully pushed 


0.1: digest: sha256:8aecd14cb97cc4333fdffe903aec1435a1883a44ea9f25b45513d4c2.. . 


@ 我 们 需要 做 的 第 一 件 事 便 是 在 Docker Hub 的 用 户 命名 空间 中 为 镜像 创建 一 个 别名 。 换 
名 话说 ， 别 名 的 形式 必须 是 <username>/<repositoryname>， 其 中 的 <username> 是 你 在 
Docker Hub 上 的 用 户 名 (例如 amnouat 是 我 的 用 户 名 )， 而 <repositoryname> 是 你 希望 

在 Docker Hub 上 使 用 的 仓库 名 称 。 我 们 也 借 此 机 会 把 镜像 的 标签 设置 为 0.1。 

人 @ 用 我 们 刚刚 创建 的 别名 把 镜像 推送 到 Docker Hub。 如 果 仓库 不 存在 ， 它 会 创建 一 个 新 
的 ， 并 且 将 镜像 上 传 到 适当 的 标签 下 。 


至 此 ，identidock 镜像 已 经 公开 了 ， 任 何人 都 可 以 通过 执行 docker pull 命令 来 获取 它 。 


如 果 现 在 访问 Docker Hub 网 站 ， 就 能 在 类 似 https://registry.hub.docker.com/u/amouat/ 
identidock/ 的 URL 下 找到 你 的 仓库 。 登 录 之 后 还 能 执行 各 种 管理 任务 ， 璧 如 设置 仓库 的 描 
述 、 把 其 他 用 户 加 入 为 合作 者 ， 以 及 建立 webhook。 
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7-1: Docker Hub 首页 


每 当 需 要 更 新 仓库 时 ， 我 们 只 需 对 更 新 的 镜像 重复 标签 和 推送 的 步 又。 如果 使 用 现 有 的 标 
签 ， 那 么 先前 的 镜像 将 被 覆盖 。 虽 然 这 样 很 不 错 ， 但 如 果 我 们 希望 每 当代 码 有 更 新 的 时 
候 ， 镜 像 也 能 随 之 更 新 ， 那 又 该 怎么 办 呢 ? 这 其 实 是 一 个 非常 普遍 的 用 例 ， 出 于 这 个 原 
，Docker Hub 引入 了 自动 构建 的 概念 。 











7.3 上 自动 构建 


让 我 们 在 Docker Hub 上 为 identidock 配置 自动 构建 。 一 旦 自动 构建 成 功 后 ， 每 当 推送 任何 
代码 修改 ，Docker Hub 就 会 构建 identidock 镜像 ， 并 将 其 保存 到 我 们 的 仓库 。 要 做 到 这 一 
点 ， 你 需要 建立 一 个 GitHub 或 Bitbucket 的 仓库 。 你 可 以 把 目前 已 有 的 代码 推送 上 去 , 或 
把 官方 的 代码 “fork” -一 份 出 来 ， 官 方 代码 可 以 在 本 书 的 GitHub 项 目 (https://github.com/ 
using-docker/image-dist) 中 找到 。 


自动 构建 是 通过 Docker Hub 的 网 页 界面 进行 配置 的 ， 而 不 是 通过 命令 行 。 如 果 你 已 
登录 网 站 ， 你 应 该 在 右上 角 看 到 一 个 名 为 “Create” 的 下 拉 菜 单 。 在 这 里 ， 选 择 “ ae 
Automated Build”,， 并 找 出 identidock 代码 的 仓库 。 选择 仓库 后 , 会 跳 转 到 自动 构建 的 配置 
页 面 。 仓 库 名 称 默认 为 代码 库 ， 你 应 该 把 名 称 改 为 一 个 有 意义 的 名 字 ， 0 identidock_ 
auto。 给 仓库 加 一 个 简短 的 说 明 ， 如 “自动 构建 的 identidock 镜像 *。 第 一 个 “Tag” 字 
段 应 为 Branch， 而 它 的 名 称 为 master， 意 思 是 跟踪 主 分 支 (master) 人 如 果 你 是 
从 我 的 仓库 把 代码 fork 出 来 的 ， 那 么 你 应 该 把 “Dockerfile Location” 设 置 为 /identidock/ 
Dockerfile。 最 后 的 “Tag” 字 有 段 决定 分 配给 Docker Hub 上 的 镜像 名 称 。 你 可 以 使 用 默认 的 
Latest， 或 改 用 一 个 更 有 意义 的 名 称 ， 如 auto。 当 完成 了 所 有 步 又 之 后 ， 点 击 “Create”。 
Docker 跳 转 到 这 个 新 仓库 的 构建 页 面 。 现 在 可 以 点 击 “Trigger a Build” 来 生成 你 的 第 一 个 
自动 物 妈 镜 像 ， 当 完成 构建 后 ， 你 便 可 以 下 载 镜像 了 (假设 生成 成 功 )。 

我 们 可 以 把 源 代码 稍微 改动 一 下 ， 以 测试 自动 构建 是 否 已 生效 。 我 们 将 要 添加 一 个 
README 文件 ，Docker Hub 会 用 它 来 展示 一 些 仓 库 信息 。 在 identidock 目录 下 创建 一 个 含 
有 项 目 简短 描述 的 README.md 文件 ， 内 容 如 下 :“ 


identidock 











































































































Simple identicon server based on monsterid from Kevin Gaudin. 

From "Using Docker" by Adrian Mouat published by O'Reilly Media. 
提交 这 个 文件 ， 并 把 它 推送 到 Github: 

$ 


git add README.md 
$ git commit -m "Added README" 
[master d8f3317] Added README 

1 file changed, 6 insertions(+) 

create mode 100644 identidock/README.md 
$ git push 
Counting objects: 4, done. 
Delta compression using up to 4 threads . 
Compressing objects: 100% (4/4), done. 











注 2: fork 一 词 有 分 支 或 衍生 的 意思 , 为 软件 工程 术语 , 常用 于 开源 软件 项 目 , 并 为 Github 的 主要 功能 之 一 。 
在 Github 上 对 某 个 软件 的 源 代码 仓库 进行 fork 的 操作 后 ，Github 便 会 把 该 仓库 复制 一 份 到 用 户 自己 
的 账号 下 ， 用 户 可 以 对 其 进行 任何 修改 而 不 会 影响 原 项 目 。 译 者 注 
注 3: 你 必须 先 关联 你 的 GitHub 或 Bitbucket 账户 ， 如 果 你 还 没有 这 样 做 的 话 。 

注 4， 如 果 你 从 我 的 仓库 把 代码 fork 出 来 ， 这 个 文件 就 已 经 存在 了 ， 你 随便 更 改 其 
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Writing objects: 100% (4/4), 456 bytes | 0 bytes/s, done. 

Total 4 (delta 2), reused 0 (delta 0) 

To git@github.com:using-docker/image-dist.git 
c81ff68..d8f3317 master -> master 


如 果 稍 等 片刻 ， 然 后 再 访问 仓库 的 构建 页 面 ， 应 该 会 看 到 它 正 在 构建 一 个 新 版 本 的 镜像 。 


无 论 何 种 原因 ， 如 果 构 建 失败 了 ， 你 可 以 点 击 “Build Details” 标 签 页 中 的 “Build Code” 
来 查看 日 志 。 你 也 可 以 随时 点 击 “Trigger a Build” 按 钮 来 生成 一 个 新 的 镜像 。 


这 种 构建 和 分 发 镜像 的 方式 并 非 适用 于 所 有 项 目 。 除 非 你 已 付费 使 用 私有 人 仓库， 否则 你 的 
镜像 是 公开 的 ， 而 且 你 还 得 完全 依赖 Docker Hub 一 一 要 是 Docker Hub 出 现 宕 机 ， 你 就 无 
法 更 新 镜像 ， 用 户 也 将 无 法 下 载 它 们 。 还 要 考虑 效率 : 如 果 你 需要 快速 构建 和 在 不 同 机 器 
之 间 传 送 镜像 ， 那 么 从 Docker Hub 下 载 镜像 和 排队 等 待 镜像 生成 的 这 些 开 销 绝 对 不 是 你 
想 要 的 。 对 于 开源 项 目 和 小 型 项 目 ，Docker Hub 堪 称 完美 。 但 对 于 一 些 更 大 型 或 更 严谨 的 
项 目 ， 最 好 能 找到 其 他 方案 进行 替换 或 补充 。 


7.4 私有 分 发 


Docker Hub 之 外 有 几 个 选项 可 供 选 择 。 你 可 以 手动 处 理 ， 要 么 导出 然后 导入 镜像 ， 要 么 简 
单 地 在 每 一 个 Docker 主机 上 利用 Dockerfile 重新 构建 镜像 。 但 这 两 种 方案 都 不 太 理 想 : 每 
次 从 Dockerfile 构建 镜像 都 会 很 慢 ， 并 且 可 能 导致 不 同 主机 上 镜像 有 所 差异 ， 导 出 和 导入 
镜像 处 理 起 来 必须 很 小 心 ， 而 且 容易 出 错 。 剩 下 的 选择 就 只 有 使 用 别 的 寄存 服务 ， 可 以 是 
自己 维护 的 ， 或 由 第 三 方 托管 。 
下 面 先 来 看 一 下 免费 的 解决 方案 ， 即 运行 你 自己 的 寄存 服务 ， 之 后 再 来 看 有 哪些 商业 产品 
可 以 考虑 。 


7.4.1 运行 自己 的 寄存 服务 


Docker 的 寄存 服务 与 Docker Hub 并 不 一 样 。 虽 然 两 者 都 实现 了 寄存 服务 的 API， 可 以 让 
用 户 推送 、 下 载 和 搜索 镜像 ， 但 Docker Hub 是 一 个 财产 的 远程 服务 ， 而 寄存 服务 则 是 能 
够 在 本 地 运行 的 一 个 开源 应 用 程序 。Docker Hub 还 包括 用 户 的 账户 管理 、 统 计数 据 和 网 页 
界面 ， 这 些 都 是 寄存 服务 没有 提供 的 。 

开发 进行 中 

虽然 寄存 服务 v2 是 稳定 版 ， 但 有 若干 个 重要 的 功能 仍 在 开发 中 。 鉴 于 此 ， 
我 会 在 本 节 集 中 说 明 一 些 常用 的 用 例 ， 而 省 略 那 些 高 级 功能 的 细节 。 关 于 
寄存 服务 的 完整 且 最 新 的 文档 可 以 在 Docker 的 GitHub 项 目 (https://github. 
com/docker/distribution) 中 找到 。 











































































































本 章 中 只 会 使 用 寄存 服务 的 版 本 2， 而 它 只 支持 Docker 守护 进程 的 1.6 或 更 高 版 本 。 如 果 
需要 支持 旧版 本 的 Docker， 你 需要 运行 寄存 服务 的 上 一 个 版 本 (在 版 本 迁移 阶段 ， 也 可 以 
同时 运行 两 个 版 本 的 寄存 服务 )。 对 比 版 本 1， 版 本 2 的 安全 性 、 可 靠 性 和 效率 都 更 高 ， 基 
此 我 强烈 建议 你 在 条 件 允 许 的 情况 下 尽量 使 用 版 本 2。 
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本 地 运行 寄存 服务 的 最 简单 方法 就 是 使 用 官方 镜像 。 这 样 我 们 便 可 以 快速 运行 起 来 : 





$ docker run -d -p 5000:5000 registry:2 


75fafd23711482bbee7be50b304b795a40b7b0858064473b88e3ddcae3847c37 








现在 我 们 有 了 一 个 运行 中 的 寄存 服务 ， 可 以 用 这 个 服务 来 给 镜像 加 标签 并 推送 给 它 。 如 果 
你 使 用 的 是 docker-machine， 你 也 可 以 使 用 Locathost 地 址 ， 因 为 解析 这 个 地 址 的 是 与 寄 


存 月 








民 务 运行 在 同一 主机 上 的 Docker 引擎 〈 而 不 是 客户 端 ) : 


$ docker tag amouat/identidock:0.1 localhost:5000/identidock:0.1 
$ docker push localhost:5000/identidock:0.1 
The push refers to a repository [localhost:5000/identidock] (len: 1) 





0.1: digest: sha256:d20affe522a3c6ef1f8293de69fea5a8621d695619955262f3fc2885... 


如 果 现 在 把 本 地 的 版 本 删 掉 ， 还 可 以 再 次 下 载 : 


$ docker rmi localhost:5000/identidock:0.1 
Untagged: localhost:5000/identidock:0.1 

$ docker pull localhost:5000/identidock:0.1 
0.1: Pulling from identidock 


76899e56d187: Already exists 
Digest:sha256:d20affe522a3c6ef1f8293de69fea5a8621d695619955262f3fc28852e173108 
Status: Downloaded newer ;image for localhost:5000/identidock:0.1 











Docker 发 现 已 有 内 容 相同 的 镜像 ， 因 此 实际 上 发 生 的 这 一 切 只 是 标签 被 加 回去 而 已 。 可 能 
你 已 注意 到 ， 寄 存 服务 为 镜像 生成 了 一 个 摘要 值 (digest)。 这 是 基于 镜像 和 它 的 元 数据 产 
生 的 一 个 唯一 的 散 列 值 。 你 可 以 利用 这 个 值 来 下 载 镜像 ， 像 这 样 : 



































$ docker pull localhost:5000/identidock@sha256:\ 
d20affe522a3c6ef1f8293de69fea5a8621d695619955262f3fc28852e173108 
sha256:d20affe522a3c6ef1f8293de69fea5a8621d695619955262f3fc28852e173108: PuL. . . 


76899e56d187: ALready exists 
Digest: sha256:d20affe522a3c6ef1f8293de69fea5a8621d695619955262f3fc28852e173108 
Status: Downloaded newer image for localhost:5000/identidock@sha256:d20affe5... 





使 月 


摘要 的 主要 优点 是 ， 它 能 保证 下 载 的 镜像 确实 是 你 想 要 的 。 如 有 果 使 用 标签 下 载 ， 镜 像 


有 可 能 在 你 不 知情 的 时 候 已 经 被 更 改过 。 此 外 ， 使 用 搞 要 保证 了 镜像 的 完整 性 ， 你 可 以 肯 


定 它 在 传输 的 过 程 当 中 或 存储 时 没有 被 算 改 过 。 关 于 如 何 安全 处 理 镜像 以 及 建立 它们 的 出 


处 ， 











参见 13.6 节 。 


需要 寄存 服务 的 主要 原因 是 ， 它 能 作为 你 的 团队 或 组 织 的 中 央 存 储 。 这 意味 着 你 需要 在 远 
程 的 Docker 守护 进程 中 也 能 从 寄存 服务 器 下 载 镜 像 。 但 是 ， 如 果 尝 试 对 我 们 的 寄存 服务 
器 这 样 做 ， 将 会 发 生 以 下 错误 : 














$ docker pull 192.168.1.100:5000/identidock:0.1 © 

Error response from daemon: unable to ping registry endpoint 
https://192.168.99.100:5000/vg/ 

v2 ping attempt failed with error: Get https://192.168.99.100:5000/v2/: 
tls: oversized record received with length 20527 
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v1 ping attempt failed with error: Get https://192.168.99.100:5000/v1/_ping: 


tls: oversized record received with length 20527 


@ 我 在 这 里 以 服务 器 的 全 地址 取代 了 “localhost”。 无 论 你 执行 下 载 动作 的 守护 进程 是 在 
另 一 台 计算 机 上 ， 还 是 与 寄存 服务 处 于 同一 台 计 算 机 上 ， 都 会 发 生 这 一 错误 。 


那么 ， 到 底 发 生 了 什么 呢 ? 原来 Docker 守护 程序 拒绝 连接 到 远程 主机 ， 是 因为 它 没有 一 
个 有 效 的 传输 层 安 全 (Transport Layer Security，TLS) 证 书 。 之 前 能 够 工作 ， 只 是 因为 
Docker 特别 允许 从 “localhost” 服 务 器 下 载 。 修 复 这 个 问题 的 方法 有 3 种 。 


(]) 对 将 要 访问 寄存 服务 器 的 所 有 Docker 守 护 进 程 加 上 -- insecure-registry 
192.168.1.100:5000 参数 ， 其 中 的 地 址 和 端口 需要 替换 成 你 的 服务 器 的 信息 ， 然 后 重新 
启动 Docker 守护 进程 。 

@2) 在 主机 上 安装 一 个 来 自 可 信 的 证 书 颁发 机 构 签署 的 证 书 ， 如 同 需要 为 一 个 可 以 通过 

TTPS 访问 的 网 站 所 做 的 那样 。 

(3) 在 主机 上 安装 一 个 自 签名 的 证 书 (self-signed certificate)， 并 同时 给 需要 访问 寄存 服务 
器 的 每 个 Docker 守护 进程 都 安装 一 份 。 

第 一 个 方法 是 最 简单 的 ， 但 出 于 安全 ， 我 们 不 会 考虑 它 。 第 二 个 方法 是 最 好 的 ， 但 需要 一 

个 来 自 可 信 的 证 书 认 证 机 构 签发 的 证 书 ， 而 这 通常 都 有 相关 的 费用 。 第 三 个 方法 是 安全 

的 ,但 需要 将 证 书 手动 复制 到 每 个 守护 进程 。 

如 果 想 创建 一 张 你 自己 的 自 签名 证 书 ， 可 以 使 用 OpenSSL 工具 。 这 些 步骤 需要 在 一 台 打 算 

长 期 用 作 寄 存 服务 器 的 计算 机 上 进行 。 这 些 步 又 在 Digital Ocean 托管 的 Ubuntu 14.04 虚拟 

机 上 测试 过 ;， 在 其 他 操作 系统 上 执行 可 能 会 有 差异 。 

root@reginald:~# mkdir registry_certs 
root@reginald:~# openssL req -newkey rsa:4096 -nodes -sha256 \ 
> -keyout registry_certs/domain.key -x509 -days 365 \ 


-out registry_certs/domain.crt © 
Generating a 4096 bit RSA private key 


























工 




















You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [AU]: 

State or Province Name (full name) [Some-State]: 

Locality Name (eg, city) []: 

Organization Name (eg, company) [Internet Widgits Pty Ltd]: 
Organizational Unit Name (eg, section) []: 

Common Name (e.g. server FQDN or YOUR name) []:reginald @ 

Email Address []: 

root@reginald:~# ls registry_certs/ 

domain.crt domain.key © 





@ 创建 一 个 x509 的 自 签 名 证 书 和 4096 位 的 RSA 私 钥 。 这 张 证 书 使 用 SHA256 的 摘要 签 
署 ， 其 有 效 期 为 365 天 。OpenSSL 还 会 要 求 你 提供 一 些 信息 ， 你 可 以 输入 新 的 值 或 选 
择 保留 默认 值 。 

名 common name 很 重要 ， 它 必须 与 用 来 访问 服务 器 的 名 字 相 同 ， 而 且 不 可 以 使 用 IP 地 址 
(“reginald” 是 我 的 服务 器 的 名 字 )。 

@ 当 这 个 过 程 结束 后 ， 我 们 会 有 一 张 名 为 domain.crt 的 证 书 ， 该 证 书 将 会 与 各 个 客户 端 
共用 。 还 有 一 把 名 为 domain.key 的 密 钥 ， 密 钥 的 储存 必须 保证 安全 ， 永 远 不 能 与 别人 
























































通过 IP 地 址 访问 寄存 服务 


如 果 想 使 用 耳 地址 来 访问 寄存 服务 ， 配 置 就 会 变 得 复杂 。 你 不 能 简单 地 把 耳 地 址 用 作 
common name。 你 必须 为 你 打算 使 用 的 各 个 他 地址 设置 Subject Alternative Name (SAN) 。 


一 般 情况 下 ， 我 不 赞成 这 样 做 。 为 你 的 服务 器 挑选 一 个 名 字 ， 并 让 它 能 在 内 网 中 被 寻 
址 ， 肯 定 是 个 比较 好 的 做 法 (即使 在 最 坏 的 情况 下 ， 也 可 以 手动 把 服务 器 名 称 添 加 到 
/etc/hosts 中 )。 这 个 做 法 通常 更 容易 配置 ， 并 且 即 使 IP 地 址 更 改 了 ， 也 不 需要 把 所 有 
镜像 重新 赋予 标签 。 














接 下 来 需要 将 证 书 复制 到 每 一 个 将 会 访问 寄存 服务 器 的 Docker 守护 进程 。 复制 的 目标 文 
件 是 /etc/dockercerts.d/<registry_address>/ca.crt， 甚 中 的 <registry_address> 为 你 的 寄存 服 
务 器 的 地 址 和 端口 。 你 还 需要 重新 启动 Docker 守护 进程 。 举 例如 下 : 


root@reginald:~# sudo mkdir -p /etc/docker/certs.d/reginald:5000 

root@reginald:~# sudo cp registry_certs/domain.crt \ 
/etc/docker/certs.d/reginald:5000/ca.crt © 

root@reginald:~# sudo service docker restart 

docker stop/waiting 

docker start/running, process 3906 


@ 如 果 需 要 在 远程 的 主机 上 执行 ， 你 需要 利用 scp 或 类 似 的 工具 ， 将 CA 证 书 传 到 该 
Docker 主机 。 假 如 你 使 用 了 一 个 公共 可 信 的 证 书 认证 机 构 签发 的 证 书 ， 便 可 以 跳 过 这 
一 步 。 

现在 可 以 启动 寄存 服务 :“ 

root@reginald:~# docker run -d -p 5000:5000 \ 
-v $(pwd)/registry_certs:/certs \ © 
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \ 


-e REGISTRY_HTTP_TLS_KEY=/certs/donain.key \ © 
--restart=always --name registry registry:2 














b79cb734d8778cQe36934514cQaled13d42c342c7b8d7d4d75f84497cc6f45f4 


@ 以 数据 卷 的 方式 把 证 书 放 入 容器 。 








注 5: 如 果 你 有 一 张 由 一 家 可 信 的 认证 中 心 签发 的 证 书 ， 可 以 跳 过 这 一 步 。 
注 6: 你 可 能 需要 删除 先前 曾经 启动 过 的 寄存 服务 实例 。 
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名 可 以 通过 环境 变量 配置 寄存 服务 来 使 用 我 们 的 证 书 。 为 了 证 明 一 切 能 正常 运作 ， 试 试 下 
载 镜像 ， 把 它 重新 加 标签 ， 并 把 它 推送 出 去 : 
root@reginald:~# docker pull debian:wheezy 
wheezy: Pulling from library/debian 
ba249489d0b6: Pull complete 
19de96c112fc: Pull complete 
library/debian:wheezy: The image you are pulling has been verified. 
Important: image verification is a tech preview feature and should not be 
relied on to provide security. 
Digest: sha256:90de9d4ecb9c954bdacd9fbcc58b431864e8023e42f8cc21782f2107054344e1 
Status: Downloaded newer image for debian:wheezy 
root@reginald:~# docker tag debian:wheezy reginald:5000/debian:local © 
root@reginald:~# docker push reginald:5000/debian:local 
The push refers to a repository [reginald:5000/debian] (len: 1) 
19de96c112fc: Image successfully pushed 
ba249489d0b6: Image successfully pushed 
local: digest: sha256:3569aa2244f895ee6be52ed5339bc83e19fafd713fb1138007b987... 


@ 必须 把 “reginald” 替 换 成 你 的 服务 器 名 称 。 
我 们 终于 有 了 一 个 能 安全 地 存储 镜像 的 远程 寄存 服务 。 当 你 从 其 他 机 器 进行 测试 时 ， 说 记 
将 证 书 文件 复制 到 Docker 引擎 主机 上 的 /etc/docker/certs.d/<registry_address>/ca.crt， 并 确 
保 Docker 引 警 能够 解析 寄存 服务 器 的 地 址 。” 


Docker 拥有 很 多 配置 选项 ， 针 对 不 同 的 使 用 情况 ， 可 以 利用 它们 来 设置 和 调整 寄存 服务 
的 行为 。 寄 存 服 务 的 选项 由 镜像 中 的 一 个 YAML 文件 配置 ， 可 以 用 数据 卷 将 其 替换 。 执 
行程 序 时 ， 选 项 的 值 也 可 以 通过 环境 变量 来 重新 定义 ， 例 如 前 面 例子 中 的 REGISTRY_HTTP_ 
TLS_KEY 和 REGISTRY_HTTP_TLS_CERTIFICATE。 本 书写 作 时 ， 配 置 文件 位 于 /go/src/github. 
comy/dockerdistribution/cmd/registry/config.yml， 但 将 来 这 个 路 径 很 可 能 会 简化 。 默 认 的 配 
置 内 容 专 为 开发 环境 而 设 ， 如 需 用 于 生产 环境 ， 那 么 必须 对 它 进 行 大 幅度 修改 。 可 以 在 
Docker 的 GitHub 项 目 找到 如 何 配置 寄存 服务 的 所 有 细节 ， 以 及 配置 文件 的 范例 。 
余下 的 内 容 将 讲述 建立 一 个 寄存 服务 时 需要 考虑 的 主要 功能 以 及 定制 的 功能 。 
1. 存储 
寄存 服务 器 的 镜像 默认 使 用 文件 系统 驱动 ， 顾 名 思 义 ， 所 有 数据 和 镜像 将 会 保存 在 文件 系 
统 之 上 。 对 于 开发 环境 ， 其 至 很 多 应 用 场景 而 言 ， 这 是 个 很 好 的 选择 。 你 需要 在 已 定义 的 
根 目录 使 用 一 个 数据 卷 ， 并 把 它 指向 一 个 可 靠 的 文件 存储 。 例 如 ， 以 下 的 config.yml 将 配 
置 寄 存 服务 使 用 文件 系统 驱动 ， 并 将 数据 保存 于 /var/lib/registry， 而 且 要 把 它 定义 为 一 个 
数据 卷 : 

storage: 


filesystenm: 
rootdirectory: /var/lib/registry 


如 果 要 把 数据 保存 到 云 中 ， 可 以 使 用 亚马逊 S3 和 微软 Azure 存储 驱动 。 


















































注 7: 不 能 把 寄存 服务 的 名 称 楚 换 成 IP 地 址 ， 因 为 它 将 无 法 与 证 书 匹配 。 相 反 ， 应 该 编辑 /etc/hosts 文件 或 
配置 DNS， 使 域名 能 够 被 解析 。 
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此 外 ， 它 还 支持 Ceph 分 布 式 对 象 存储 ， 并 利用 Redis 作为 内 存 缓存 来 加 速 镜像 层 的 访问 


效率 。 


2. 身份 验证 

目前 为 止 ， 我 们 已 经 知道 如 何 使 用 TLS 访问 寄存 服务 ， 但 尚未 涉及 任何 用 户 身份 验证 的 相 

关内 容 。 如 果 只 使 用 公共 镜像 ， 或 寄存 服务 只 能 在 内 网 访问 ， 这 样 或 许 无 伤 大 雅 ， 但 大 多 

数 机 构 还 是 希望 只 有 通过 验证 的 用 户 才 有 访问 权限 。 

有 两 种 实现 方法 。 

(在 寄存 服务 之 前 设置 一 个 代理 (如 nginx) 负责 验证 用 户 。GitHub 项 目的 官方 文档 
(https://docs.docker.com/registry/recipes/nginx/) 中 提供 了 一 个 使 用 nginx 用 户 名 /密码 作 
为 认证 的 范例 。 一 旦 配置 成 功 ，docker Login 命令 便 可 用 于 寄存 服务 的 身份 验证 。 

(2) 使 用 基于 JSON 网 络 令 牌 (JSON Web Token) 实现 的 令 牌 认证 。 使 用 此 方法 后 ， 无 法 

出 示 有 效 令 牌 的 客户 端 会 被 寄存 服务 器 拒绝 访问 ， 并 将 其 重 定向 到 身份 认证 服务 器 。 

客户 端 可 以 从 认证 服务 器 取得 令 牌 ,然后 以 此 访问 寄存 服务 。Docker 尚未 提供 认证 服 

务 器 ， 撰 写本 书 的 时 候 只 有 一 个 由 Cesanta Software (https://github.com/cesanta/docker_ 

auth) 提供 的 开源 解决 方案 。 目 前 而 言 ， 其 他 选择 只 有 自己 开发 一 套 基于 JSON 网 络 令 

牌 库 的 方案 ， 或 付费 使 用 7.4.2 节 中 提 及 的 商用 解决 方案 。 虽 然 这 样 做 显然 更 加 复杂 和 

困难 ， 但 对 于 许多 大 型 或 架构 分 散 的 机 构 而 言 却 非常 重要 。 

3. HTTP 

这 里 将 会 配置 寄存 服务 的 HTTP 接口 。 你 必须 确保 它 的 配置 正确 无 误 ， 它 才能 正常 工作 。 

特别 要 注意 的 是 ， 它 的 TLS 证 书 和 密 钥 的 位 置 必须 配置 好 ， 在 前 面 的 例子 中 ， 我 们 是 通过 

REGISTRY_HTTP_TLS_KEY 和 REGISTRY_HTTP_TLS_CERTIFICATE 这 两 个 环境 变量 来 做 的 。 


通常 的 配置 如 下 所 示 : 


http : 
addr: reginald:5000 © 
secret: DD100CC4-1356-11E5-A926-33C19330F945 © 
tls: © 


certificate: /certs/domain.crt 
key: /certs/domain.key 


@ 寄存 服务 器 的 地 址 。 

@ 用 来 签署 客户 端 存储 的 状态 信息 的 一 个 随机 字符 串 。 它 的 目的 是 为 了 防止 信息 被 自 改 。 
理想 的 情况 下 这 个 字符 串 应 该 是 随机 生成 的 。 

@ 就 像 之 前 看 到 的 那样 ， 把 证 书 设置 妥当。 这 些 文件 必须 让 容器 能 访问 得 到 ， 可 以 通过 挂 
载 数据 卷 ， 或 把 文件 复制 到 容器 中 。 

4. 其 他 配置 

请 注意 ， 还 有 其 他 选项 用 于 配置 中 间 件 、 通 知 、 日 志 记 录 和 缓存 。 欲 了 解 更 多 详情 ， 请 参 

阅 Docker 的 GitHub 项 目 。 
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7.4.2 ”商业 寄存 服务 


如 果 你 正在 寻找 一 套 更 完整 的 基于 Web 的 管理 解决 方案 ， 可 以 选择 Docker Trusted 
Registry (https://www.docker.com/docker-trusted-registry) 或 CoreOS Enterprise Registry 
(https://coreos.com/products/enterprise-registry/) 。 这 两 套 产 品 都 是 用 于 企业 内 部 的 商业 解决 
方案 ， 因 此 受到 企业 的 防火 墙 保护 。 


它们 不 仅 能 够 存储 镜像 ， 还 具备 很 多 其 他 功能 。 它 们 都 提供 了 针对 团队 工作 环境 的 Docker 
镜像 管理 工具 ， 例 如 细 粒 度 的 权限 控制 ， 以 及 处 理 安 装 和 管理 任务 的 图 形 用 户 界面 。 


7.5 ”缩减 镜像 大 小 


现在 你 可 能 已 经 注意 到 ，Docker 镜像 都 比较 大 ， 大 多 数 的 镜像 的 大 小 都 有 上 百 MB ， 意 
着 大 量 的 时 间 都 花费 在 等 待 镜像 的 来 回 传送 上 。 镜 像 的 层次 结构 可 以 缓解 这 一 问题 ， 如 果 
已 经 有 了 一 个 镜像 的 父 层 ， 只 需 下 载 新 的 子 镜像 层 就 可 以 了 。 


但 是 ， 关 于 如 何 缩减 镜像 的 大 小 仍 有 很 多 讨论 空间 ， 只 不 过 说 易 行 难 。 一 个 单纯 的 想法 是 
从 镜像 中 删除 不 需要 的 文件 。 不 幸 的 是 ， 这 是 行 不 通 的 。 人 
的 ， 每 个 镜像 对 应 Dockerfile 以 及 其 上 的 所 有 Dockerfile 的 每 一 个 命令 。 镜 像 的 总 大 小 是 
所 有 镜像 层 的 首 和 和。 轩 使 在， 个 镜像 中 中 着 除 了 一 个 文件 。 它 也 仍然 存在 于 父 缠 像 县 具 
体 的 例子 请 看 以 下 的 Dockerfile: 


FROM debian:wheezy 










































































RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB © 
RUN rm /bigfile 


@ 这 个 命令 只 是 用 来 快速 创建 一 个 文件 。 
如 果 现 在 构建 并 检查 这 个 镜像 : 


$ docker build -t filetest . 








$ docker images filetest © 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
filetest latest e2a98279a101 8 seconds ago 135 MB 

$ docker oy filetest © 


IMAGE ... CREATED BY SIZE 
e2a98279a101 /bin/sh -c rm /bigfile 0 B 
5d0f04380012 /bin/sh -c dd if=/dev/zero of=/bigfile count= 50 MB 
c90d655b99b2 /bin/sh -c #(nop) CMD [/bin/bash] 0 B 
30d39e59ffe2 /bin/sh -c #(nop) ADD fiLe:3f1a40df75bc5673ce 85.01 MB 
511136ea3c5a 0 B 





@ 这 里 可 以 看 到 ， 镜 像 的 总 大 小 为 1353MB ， 正 好 比 基 础 镜像 大 50MB。 

@ docker history 给 出 了 完整 的 信息 。 最 上 面 的 两 行 描述 我 们 的 Dockerfile 所 创建 的 镜像 

层 。 可 以 看 到 ，dd 命令 创建 了 一 个 大 小 为 50MB 的 镜像 层 ， 而 rm 命令 在 它 上 面 又 新 建 
了 一 个 层 。 

相反 ， 如 果 我 们 的 Dockerfile 是 这 样 的 : 






































FROM debian:wheezy 
RUN dd if=/dev/zero of=/bigfile count=1 bs=50MB && rm /bigfile 
我 们 再 来 执行 构建 和 检查 它 : 


$ docker build -t filetest . 

















$ docker images filetest 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
filetest latest 40a9350a4fa2 34 seconds ago 85.01 MB 

$ docker history filetest 


IMAGE ... CREATED BY SIZE 
40a9350a4fa2 /bin/sh -c dd if=/dev/zero of=/bigfile count= 0B 
c90d655b99b2 /bin/sh -c #(nop) CMD [/bin/bash] 0 B 
30d39e59ffe2 /bin/sh -c #(nop) ADD fiLe:3f1a40df75bc5673ce 85.01 MB 
511136ea3c5a 0 B 














我 们 并 没有 增加 基础 镜像 的 大 小 。 如 果 在 同一 个 镜像 层 中 创建 文件 后 再 把 它 删 除 ， 那 么 文 
件 是 不 会 被 包含 在 镜像 中 的 。 正 因为 如 此 ， 你 将 会 经 常 碰 见 一 些 Dockerfile， 它 会 在 同一 
个 RUN 指令 中 完成 下 载 压缩 包 或 其 他 归档 文件 、 将 其 解压 ， 以 及 立即 删除 归档 文件 这 几 个 
动作 。 例 如 ， 官 方 的 MongoDB 镜像 包括 以 下 指令 (为 便于 排版 ，URL 已 缩短 ) : 
RUN curl -SL "https://SMONGO_VERSION.tgz”-o mongo.tgz \ 
&& curl -SL "https://$MONGO_VERSION.tgz.sig" -o mongo.tgz.sig \ 
&& gpg --verify mongo.tgz.sig \ 


&& tar -xvf mongo.tgz -C /usr/local --strip-components=1 \ 
&& rm mongo.tgz* 


类 似 的 策略 还 可 以 应 用 于 源码 一 一 有 时 候 你 会 发 现 同一 行内 可 以 完成 代码 下 载 、 二 进 制 纺 
译 ， 以 及 文件 的 删除 。 


同 理 ， 试 图 清理 包 管理 工具 是 没有 任何 意义 的 : 


RUN rm -rf /var/Lib/apt/LLsts/* 


但 是 可 以 这 样 做 (同样 摘自 官方 的 mongo Dockerfile) : 


RUN apt-get update \ 
&& apt-get install -y curl numactl \ 
&& rm -rf /var/lib/apt/lists/* 


另外 ， 请 参阅 4.2.4 市 中 关于 如 何 明智 地 选择 基础 镜像 以 尽 可 能 缩减 镜像 大 小 的 讨论 。 


如 有 果 遇 上 不 得 不 缩减 镜像 大 小 的 紧要 关头 ， 还 有 另外 一 个 选择 。 先 对 一 个 容器 执行 docker 
export， 再 对 其 结果 执行 docker import， 就 会 得 到 一 个 只 含有 一 个 层 的 镜像 。 举 例如 下 : 


$ docker create identidock:latest 
fe165be64117612c94160c6a194a0d8791f4c6cb30702a61d4b3ac1d9271e3bf 
$ docker export $(docker ps -Lq) | docker import - 
146880a742cbdge92cd9a79f75a281fofed46f6b5ece0219f5e1594ff8c18302 
$ docker tag 146880a identidock:import 

$ docker images identidock 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
identidock iimport 146880a742cb 5 minutes ago 730.9 MB 
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identidock 0.1 76899e56d187 23 hours ago 839.5 MB 


identidock latest 1432cc6c20e5 4 days ago 839 MB 

$ docker history identidock:import 

IMAGE CREATED CREATED BY SIZE COMMENT 
146880a742cb 11 minutes ago 730.9 MB Imported from - 


这 样 镜像 就 变 得 更 小 了 ， 不 过 会 付出 以 下 代价 。 

。 需要 重新 处 理 所 有 未 反映 在 文件 系统 里 的 Dockerfile 指令 ， 如 EXPOSE、CMD 和 
PORTS 。 

。 与 镜像 关联 的 所 有 元 数据 将 会 丢失 。 

。 再 也 不 能 与 其 他 具有 相同 父 层 的 镜像 共享 空间 。 


7.6 ”镜像 出 处 


分 发 和 使 用 镜像 时 ， 必 须 萎 虑 如 何 确立 它们 的 出 处 (provenance) ， 也 就 是 镜像 来 自 何 处 以 
及 来 自 谁 。 下 载 镜像 的 时 候 ， 需 要 确保 它 是 真正 由 它 所 声称 的 作者 创建 的 ， 而 且 没 有 被 自 
改过 ， 并 且 它 与 镜像 作者 测试 的 镜像 是 同一 个 。 

为 了 满足 这 些 和 需求 ，Docker 推出 了 名 为 内 容 信任 (Docker content trust，https://docs.docker. 
com/engine/security/trust/content_trust/) 的 解决 方案 ， 扎 写本 书 的 时 候 ， 它 还 在 测试 阶段 ， 
默认 未 局 用。 更 多 详情 参见 13.6 市 。 


7.7 总 结 


在 采用 Docker 的 工作 流程 当中 ， 有 效 的 镜像 发 布 是 关键 的 组 成 部 分 。 本 章 探 讨 了 主要 的 
解决 方案 : Docker Hub 和 私有 的 寄存 服务 。 我 们 还 学 习 了 一 些 分 发 镜像 时 需要 注意 的 事 
项 ， 包 括 需要 给 镜像 设置 合适 的 名 称 和 标签 ， 以 及 如 何 缩减 镜像 的 大 小 。 


下 一 章 将 会 把 镜像 带 进 工作 流 的 下 一 步 ， 即 持续 集成 服务 。 


























第 8 和 章 


Docker 持 续集 成 与 测试 





本 章 将 介绍 如 何 利 用 Docker 和 Jenkins 创建 一 个 持续 集成 (continuous integration，CI) 的 
工作 流 来 构建 和 测试 我 们 的 应 用 程序 。 本 章 同 时 也 会 涉及 Docker 测试 的 其 他 方面 ， 还 会 
对 测试 微服 务 架 构 作 简单 介绍 。 

容器 和 微服 务 的 测试 各 有 各 的 挑战 。 微 服务 使 单元 测试 变 得 容易 ， 但 由 于 服务 和 网 络 连接 
的 数量 有 所 增加 ， 使 得 系统 和 集成 测试 变 得 困难 。 这 时 候 ， 模 拟 网 络 服务 比 模拟 单一 架构 
系统 中 传统 的 Java 或 C# 类 更 有 意义 。 把 测试 代码 保留 在 镜像 中 ， 好 处 是 能 保证 容器 的 可 
移植 性 和 一 致 性 ， 坏 处 是 增加 了 它们 的 大 小 。 


本 章 代 码 见 于 本 书 的 GitHub 仓库 (https://github.com/using-docker/ci-testing ) 。 
标签 ve 代表 identidock 代码 在 上 一 章 为 止 的 状态 ， 随 着 代码 不 断 往 前 发 展 ， 
代码 的 标签 也 会 同步 推进 。 用 以 下 命令 来 获取 这 个 版 本 的 代码 : 

$ git clone -b vO \ 

https://github.com/using-docker/ci-testing/ 





EI 



































除 此 之 外 ， 也 可 以 在 GitHub 项 目的 Releases 页 面 (https://github.com/using- 
docker/ci-testing/releases) 下 载 各 个 标签 的 代码 。 


8.1 为 identidock 添 加 单元 测试 


首先 应 该 添加 一 些 单元 测试 到 我 们 的 identidock 代码 里 。 在 无 需 依 赖 于 任何 外 部 服务 的 情 
况 下 ， 这 些 单元 测试 将 对 identidock 代码 进行 一 些 基 本 功能 的 测试 。， 








注 1: 许多 开发 者 提倡 测试 驱动 开发 (test-driven development，TDD) 模式 ， 实 施 这 种 模式 时 会 先 把 测试 
写 好 ， 然 后 才 完 成 能 通过 这 些 测试 的 代码 。 本 书 并 没有 遵循 这 种 开发 模式 ， 主 要 是 为 了 方便 叙述 。 
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用 以 下 内 容 来 创建 一 个 identidock/app/tests.py 文件 : 


import unittest 
import identidock 


class TestCase(unittest.TestCase): 


def setUp(self): 
identidock.app.config["TESTING"] = True 
self.app = identidock.app.test_client() 


def test get mainpage(self): 
page = self.app.post("/", data=dict(name="Moby Dock")) 
assert page.status_code == 200 
assert 'Hello' in str(page.data) 
assert 'Moby Dock' in str(page.data) 


def test_html_escaping(self): 
page = self.app.post("/", data=dict(name='"><b>TEST</b><!--')) 
assert '<b>' not in str(page.data) 


1 1 


if _name _ == '_ main _': 
unittest.main() 


这 是 一 个 非常 简单 的 测试 文件 ， 其 中 只 有 3 个 方法 。 
setUp 

基于 我 们 的 Flask Web 应 用 ， 初 始 化 一 个 它 的 测试 版 本 。 
test_get mainpage 


这 个 测试 方法 以 “Moby Dock” 作 为 name 字段 的 输入 并 调用 URL /。 然 后 ， 它 会 检查 方 
法 是 否 返回 200 状态 码 ， 以 及 返回 的 数据 是 否 包含 “Hello” 和 “Moby Dock” 字 符 串 。 


test_html_escaping 
测试 输入 中 的 HTML 元 素 能 否 被 正确 转 义 。 


下 来 运行 这 些 测 试 : 























下 


$ docker build -t identidock . 


$ docker run identidock python tests.py 


Traceback (most recent call Last) : 
File "tests.py", line 19, in test_htmL_escaping 
assert '<b>' not in str(page.data) 
AssertionError 


Ran 2 tests in 0.010s 


FAILED (failures=1) 





咽 ， 看 起 来 不 太 对 劲 儿 。 第 一 个 测试 顺利 通过 ， 但 第 二 个 测试 却 失 败 了 ， 因 为 我 们 没有 将 

用 户 的 输入 正确 地 转 义 。 这 是 一 个 严重 的 安全 问题 ， 在 大 型 应 用 中 可 能 导致 数据 泄漏 和 跨 

站 脚本 攻击 (XSS)。 如 果 你 想 看 看 对 程序 有 什么 影响 ， 可 以 启动 identidock 并 尝试 对 name 

字段 输入 类 似 "> <b>pwned!</b><!--"， 必 须 包 括 引 号 。 攻 击 者 有 可 能 向 我 们 的 应 用 程序 注 
恶意 的 JavaScript 代码 ， 并 诱 使 用 户 执 行 它 。 


但 值得 庆幸 的 是 ， 这 个 问题 很 容易 修复 。 只 需 更 改 我 们 的 Python 程序 ， 让 它 把 用 户 的 输入 
进行 净化 ， 使 HTML 元 素 和 引号 被 转 义 成 适当 的 代码 。 把 identidock.py 的 代码 更 新 如 下 : 


from flask import Flask, Response, request 
import requests 

import hashlib 

import redis 

import html 

















app = Flask(__name_ ) 

cache = redis.StrictRedis(host='redis', port=6379, db=0) 
salt = "UNIQUE_SALT" 

default_name = 'Joe BLoggs' 


@app.route('/', methods=['GET', 'POST']) 
def mainpage(): 


name = defauLt_name 
if request.method == 'POST': 
name = html.escape(request.form[ 'name'], quote=True) © 


salted name = salt + name 
name_hash = hashlib.sha256(salted_name.encode()).hexdigest() 
header = '<html><head><title>Identidock</title></head><body>' 
body = '''<form method="POST"> 
Hello <input type="text" name="name" value="{0}"> 
<input type="submit" value="submit"> 
</form> 
<p>You look like a: 
<img src="/monster/{1}"/> 
'''.format(name, name_hash) 
footer = '</body></html>' 


return header + body + footer 


@app.route('/monster/<name>') 
def get identicon(name): 


name = html.escape(name, quote=True) © 
image = cache.get(name) 
if image is None: 
print ("Cache miss", flush=True) 
r = requests.get('http://dnmonster:8080/monster/' + name + '?size=80') 
image = r.content 
cache.set(name, image) 
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return Response(image, mimetype='image/png') 


if _ name == '__ main _': 
app.run(debug=True, host='0.0.0.0') 


@ 使 用 html.escape 方法 来 净化 用 户 输入 。 
现在 ， 如 果 重 新 构建 并 测试 我 们 的 应 用 程序 : 


$ docker build -t identidock . 


1 
































$ docker run identidock python tests.py 


Ran 2 tests in 0.009s 

OK 
太 棒 了 ， 问 题 已 经 解决 。 为 了 验证 这 一 点 ， 你 可 以 通过 使 用 新 的 容器 来 重新 启动 identidock 
程序 (记得 执行 docker-compose build 命令 ， 从 而 确保 Compose 使 用 新 的 代码 ) ， 并 试 医 
输入 一 些 恶意 数据 。” 如 果 我 们 使 用 的 不 是 简单 的 字符 串 组 合 ， 而 是 一 个 真正 的 模板 引擎 ， 
那么 它 便 会 帮 我 们 处 理 转 义 的 事情 ， 这 个 问题 就 不 会 出 现 了 。 
已 经 有 一 些 测 试 了 ， 现 在 可 以 增强 我 们 的 cmd.sh 脚本 ， 使 它们 能 自动 执行 。 把 cmd.sh 替 
换 成 以 下 内 容 : 


#!/bin/bash 
set -e 























if [ "$ENV" = 'DEV' ]; then 
echo "Running Development Server" 
exec python "identidock.py" 
elif [ "$ENV" = 'UNIT' ]; then 
echo "Running Unit Tests" 
exec python "tests.py" 
else 
echo "Running Production Server" 
exec uwsgi --http 0.0.0.0:9090 --wsgi-file /app/identidock.py \ 
--Ccallable app --stats 0.0.0.0:9191 
fi 


现在 就 可 以 重新 构建 容器 ， 以 后 只 通过 更 改 环 境 变 量 就 能 执行 测试 : 
$ docker build -t identidock . 


$ docker run -e ENV=UNIT identidock 
Running Unit Tests 


Ran 2 tests in 0.010s 


OK 

















注 2: 很 师 愧 ， 我 一 直 没 有 注意 到 这 个 问题 ， 直 到 本 书 进入 审阅 阶段 。 我 再 一 次 明白 了 ， 即 使 看 起 来 很 简单 
的 代码 ， 测 试 也 同样 重要 ， 并 最 好 尽 可 能 使 用 现成 的 且 经 过 考验 的 代码 和 工具 。 
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我 
测 


们 还 可 以 写 更 多 的 单元 测试 。 特 别 是 get_identicon 方法 ， 目 前 还 没有 针对 它 的 具体 的 
试 。 为 了 利用 单元 测试 来 验证 这 个 方法 ， 需 要 调用 dnmonster 和 Redis 服务 的 测试 版 本 ， 


或 者 通过 使 用 测试 替身 (test double)。 测 试 奉 身 替 代 了 真正 提供 服务 的 程序 部 分 ， 通 常 只 














是 一 个 桩 (stub)， 只 返回 一 个 固定 的 答案 例如， 一 个 股票 价格 服务 的 桩 可 以 实现 为 总 是 
返回 “42”)， 或 者 是 一 个 模拟 对 象 (mock)， 它 只 能 够 以 编写 它 的 时 候 的 预期 来 调用 ( 例 


如 
阅 
下 











， 它 只 能 够 在 某 个 特定 的 事务 中 被 调用 一 次 )。 要 了 解 更 多 测试 替身 的 相关 信息 ， 请 参 
Python 模拟 模块 (https://docs.python.org/3/library/unittest.mock.html)， 以 及 专门 的 HTTP 
具 ， 如 Pact (https://github.com/realestate-com-au/pact)、Mountebnank (http://www.mbtest. 


org/) 和 Mirage (https://mirage.readthedocs.org)。 


示 
控 


前 


把 测试 包含 在 镜像 中 

本 章 将 identidock 的 测试 放 进 了 identidock 镜像 ， 这 与 Docker 的 哲学 是 一 致 
的 ， 它 提倡 从 开发 、 测 试 到 生产 过 程 都 只 需要 一 个 镜像 。 这 也 意味 着 ， 当 镜 
像 在 不 同 的 环境 下 运行 时 ， 我 们 都 能 轻松 地 对 它 进 行 测 试 ， 这 对 调试 时 排除 
问题 非常 有 用 。 

这 样 做 的 缺点 是 创建 出 来 的 镜像 会 比较 大 ， 因 为 镜像 需要 包含 测试 代码 和 它 所 
依赖 的 程序 ， 例 如 测试 框架 的 库 。 同 时 ， 这 也 扩大 了 攻击 面 ; 尽管 看 上 去 不 太 
可 能 ， 但 攻击 者 仍然 可 以 利用 测试 工具 或 代码 来 入侵 运行 于 生产 环境 的 系统 。 
大 多 数 情况 下 ， 相 较 于 使 用 单一 镜像 所 带 来 的 简易 性 和 可 靠 性 ， 其 稍 大 的 镜 
像 体积 和 理论 上 的 安全 风险 不 足以 掩盖 其 优点 。 















































一 步 是 把 我 们 的 测试 放 到 持续 集成 服务 器 中 自动 运行 ， 这样 的 话 ， 当 源码 提交 到 源码 
制服 务 器 的 时 候 ， 源 码 测 试 便 会 被 自动 执行 ， 而 这 都 是 在 源码 进入 准 生 产 和 生产 环境 


完成 。 





所 有 的 测试 ， 特 别 是 单元 测试 ， 运 行 速度 必须 快 ， 才 能 鼓励 开发 者 经 常 执 行 它们 ， 五 


使 用 容器 进行 快速 测试 


则 等 待 测试 结果 势必 阻 三 开发 者 的 工作 。 对 于 将 会 造成 环境 变化 的 测试 ， 就 可 以 使 用 
容器 技术 ， 因 为 它 能 快速 启动 一 个 干净 且 被 隔离 的 环境 。 举 个 例子 ， 假 设 你 有 一 组 测 
试 套件 ， 需 要 使 用 一 个 已 准备 好 测试 数据 的 服务 *。 而 每 个 使 用 该 服务 的 测试 都 有 可 
能 以 不 同 的 方式 改变 数据 ， 包 括 添加 、 删 除 或 修改 。 编 写 这 些 测试 的 一 种 方法 是 ,让 
每 个 测试 在 运行 后 尝试 对 数据 进行 清理 ， 但 这 是 有 问题 的 ， 如 果 测 试 ( 或 清理 ) 失败 ， 
那么 接 下 来 的 所 有 测试 用 到 的 数据 都 会 被 污染 ， 使 得 排查 出 错 原 因 变 得 复杂 ， 而 且 要 
求 对 所 测试 的 服务 有 所 了 解 ( 那 它 就 不 再 是 黑 盒 子 了 ) 。 另 一 种 方法 是 ， 在 每 次 测试 之 
后 彻底 删除 该 服务 ， 让 每 个 测试 都 使 用 一 个 全 新 的 服务 。 这 种 方法 利用 虚拟 机 来 实现 
会 非常 慢 ， 但 容器 却 办 得 到 。 




















注 3: 像 这 样 的 测试 很 可 能 是 系统 或 集成 测试 ， 而 非 单元 测试 。 它 们 也 可 能 是 无 法 使 用 模拟 对 象 模式 的 单 
测试 。 很 多 单元 测试 专家 会 建议 把 诸如 数据 库 的 组 件 替 换 为 模拟 对 象 ， 但 假如 该 组 件 稳定 可 靠 ， 直 
使 用 它们 往往 最 简单 ， 而 且 也 是 比较 明智 的 做 法 。 












































Docker 持 续集 成 与 测试 | 99 


容器 适用 于 测试 的 另 一 个 领域 是 在 不 同 环境 /配置 下 运行 服务 。 如 果 你 的 软件 在 不 同 
的 Linux 发 行 版 以 及 不 同 的 数据 库 上 运行 ， 只 需 为 各 个 配置 构建 一 个 镜像 ， 之 后 便 可 
以 在 每 个 镜像 上 迅速 执行 你 的 测试 了 。 这 种 做 法 需要 注意 的 是 ， 它 并 未 考虑 到 各 个 发 
行 版 之 间 内 核 的 差异 。 





8.2 创建 Jenkins 容 器 


Jenkins 是 一 个 很 流行 的 开源 持续 集成 (CI) 服务 器 。CI 服务 器 和 相关 的 托管 方案 有 很 多 ， 
但 在 我 们 的 Web 应 用 项 目 中 将 采用 Jenkins， 因 为 它 非常 流行 。 安 装 Jenkins 后 ， 每 当 有 任 
何 源码 的 修改 被 推送 到 identidock 项 目 时 ， 它 便 会 检 出 那些 修改 、 构 建新 镜像 ， 并 对 镜像 
执行 测试 一 一 包括 单元 测试 及 一 些 系 统 测 试 。 然 后 ， 它 会 根据 测试 结果 生成 测试 报告 。 

我 们 的 方案 将 基于 官方 的 Jenkins 库 中 的 镜像 。 我 用 过 1.609.3 版 本 ， 但 Jenkins 不 断 有 新 
版 本 发 布 一 一 放心 尝试 新 版 本 ， 但 我 不 能 保证 它 在 无 需 修改 的 情况 下 能 照常 工作 。 

为 了 能 让 我 们 的 Jenkins 容器 构建 镜像 ， 我 们 将 会 把 Docker 套 接 字 “ 从 主机 挂 载 到 容器 
内 ， 实 际 上 这 是 让 Jenkins 能 够 创建 “ 同 级 ”的 容器 。 另 一 个 方法 是 使 用 Docker-in-Docker 
(DinD) 技术 ， 让 Docker 可 以 创建 自己 的 “ 子 ” 容 器 。 图 8-1 展示 了 这 两 种 方法 的 对 比 。 






























































Docker-in-Docker 挂 载 套 接 字 








8-1: Docker-in-Docker 与 挂 载 套 接 字 





注 4， Docker 套 接 字 是 客户 端 和 守护 进程 之 间 用 来 通信 的 端点 。 默 认 情 况 下 ， 它 是 位 于 /varrun/docker.sock 
的 IPC 套 接 字 ， 但 Docker 还 支持 基于 网 络 地 址 的 TCP 套 接 字 和 systemd 形式 的 套 接 字 。 本 章 假设 使 
用 位 于 /var/run/docker.sock 的 默认 套 接 字 。 由 于 套 接 字 是 经 由 文件 描述 符 访问 的 ， 只 需 把 这 个 端点 以 
数据 卷 形式 挂 载 到 容器 内 即 可 。 















































Docker-in-Docker 


Docker-in-Docker (或 DinD) 的 意思 是 在 Docker 容器 中 运行 Docker 自己 。 要 把 它 运 
行 起 来 ， 需 要 做 一 些 特 殊 的 配置 工作 ， 主 要 是 将 容器 运行 于 特权 模式 下 ， 以 及 处 理 一 
些 文件 系统 的 相关 事项 。 与 其 自己 研究 ， 不 如 使 用 JEr6me Petazzoni 的 DinD 项 目 ， 这 
个 项 目 可 以 在 https://github.com/jpetazzo/dind 找到 ， 其 中 还 详细 描述 了 所 需 的 工作 步 
了 又。 使 用 JEreme 在 Docker Hub 上 的 DinD 镜像 ， 你 就 能 快速 入 门 : 

$ docker run --rm --privileged -t -i -e L0G=file jpetazzo/dind 

ln: failed to create symbolic link '/sys/fs/cgroup/systemd/name=systemd': 

Operation not permitted 

root@02306db64f6a:/# docker run busybox echo "HeLLo New World!" 

Unable to find image 'busybox:latest' locally 

Pulling repository busybox 

d7057cb02084: Download complete 

cfa753dfea5e: Download complete 


Status: Downloaded newer image for busybox:Latest 
Hello New World! 


DinD 与 挂 载 套 接 字 方 式 的 主要 区 别 在 于 ，DinD 创建 的 容器 与 主机 的 容器 是 隔绝 的 ; 
在 DinD 容器 中 执行 docker ps 命令 只 会 显示 DinD Docker 服务 创建 的 容器 。 与 此 相 
反 ， 使 用 挂 载 套 接 字 方 式 的 话 ， 执 行 docker ps 命令 将 显示 所 有 的 容器 ， 无 论 命令 在 
哪里 执行 。 

一 般 情况 下 ， 我 比较 喜欢 挂 载 套 接 字 的 方式 ， 因 为 它 更 简单 ， 但 在 某 些 情 况 下 ， 你 可 
能 需要 DinD 提供 的 更 多 隔离 性 。 如 果 你 选择 使 用 DinD， 请 注意 以 下 几 点 。 


。 你 将 有 自己 的 缓存 ， 起 初 构建 镜像 的 时 候 会 比较 慢 ， 而 且 你 还 不 得 不 再 次 下 载 所 有 
镜像 。 使 用 本 地 的 寄存 服务 或 复制 镜像 可 以 缓解 这 个 问题 。 千 万 不 要 尝试 挂 载 主机 
上 的 构建 缓存 ; Docker 引擎 认为 只 有 它 有 权力 访问 缓存 ， 因 此 两 个 Docker 实例 同 
时 共享 一 个 缕 存 将 会 引发 严重 后 果 。 

。 因为 容器 必须 在 特权 模式 下 运行 ， 所 以 它 不 会 比 挂 载 套 接 字 的 方式 更 安全 (如 果 攻 
击 者 能 够 提 权 ,他 就 可 以 挂 载 任何 设备 , 包括 驱动 器 ) 。 这 个 问题 在 未 来 将 有 所 改善 ， 
因为 Docker 将 会 引入 细 粒 度 的 权限 控制 ， 使 用 户 可 以 选择 DinD 能 够 访问 的 设备 。 

。 由 于 DinD 使 用 从 /varlib/docker 目录 挂 载 的 数据 卷 ， 如 果 你 在 移 除 容器 的 时 候 忘记 
删除 数据 卷 ， 那 么 你 的 磁盘 空间 很 快 就 会 被 占 满 。 

想 要 了 解 更 多 应 谨慎 使 用 DinD 的 原因 ， 请 参阅 jpetazzo 在 GitHub 上 的 文章 (https:// 

jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/) 。 














为 了 从 主机 挂 载 套 接 字 ， 我 们 必须 确保 容器 内 的 Jenkins 用 户 具 有 足够 的 访问 权限 。 首 先 
创建 一 个 名 为 identijenk 的 新 目录 ， 并 在 它 下 面 用 以 下 内 容 创建 一 个 Dockerfile: 


FROM jenkins:1.609.3 





USER root 
RUN echo "deb http://apt.dockerproject.org/repo debian-jessie main" \ 
> /etc/apt/sources.list.d/docker .list \ 
&& apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 \ 


Docker 持 续集 成 与 测试 | 101 





--recv-keys 58118E89F3A912897C070ADBF76221572C52609D \ 
&& apt-get update \ 
&& apt-get install -y apt-transport-https \ 
&& apt-get install -y sudo \ 
&& apt-get install -y docker-engine \ 
&& rm -rf /var/lib/apt/lists/* 
RUN echo "jenkins ALL=NOPASSWD: ALL" >> /etc/sudoers 


USER jenkins 


这 个 Dockerfile 基于 Jenkins 基础 镜像 安装 Docker 程序 ， 并 把 无 需 密码 的 sudo 权限 给 予 
jenkins 用 户 。 我 们 故意 不 把 jenkins 用 户 添 加 到 Docker 用 户 组 ， 因 此 必须 在 所 有 Docker 
命令 前 加 上 sudo。 








tH 








不 要 使 用 docker 用 户 组 
要 是 不 使 用 sudo， 可 以 把 jenkins 用 户 添加 到 主机 的 docker 用 户 组 。 但 
问题 是 ， 我 们 需要 找 出 并 使 用 CI 主机 上 docker 用 户 组 的 GID， 并 将 其 在 
Dockerfile 上 硬 编码 。 这 使 得 我 们 的 Dockerfile 不 可 移植 ， 因 为 在 不 同 主机 
上 ，docker 用 户 组 的 GID 都 不 完全 一 样 。 为 了 避免 它 所 带 来 的 混乱 和 麻烦 ， 
sudo 是 比较 推荐 的 做 法 。 


接 下 来 构建 镜像 : 


$ docker build -t identijenk . 





























Successfully built d0c716682562 
测试 一 下 : 


$ docker run -v /var/run/docker.sock:/var/run/docker.sock \ 

identijenk sudo docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS 
a36b75062e06 iidentijenk "/bin/tini -- /usr/lo" 1 seconds ago Up Less tha... 


在 docker run 命令 中 ， 我 们 挂 载 了 Docker 套 接 字 ， 这 样 就 能 连接 到 主机 上 的 Docker 守护 
进程 。 使 用 旧版 本 的 Docker 时 ， 容 器 中 一 般 不 会 安装 Docker 程序 ， 而 会 选择 把 它 挂 载 进 
来 。 这 样 做 的 好 处 是 可 以 使 主机 上 和 容器 中 的 Docker 版 本 保持 一 致 。 然 而 ， 从 1.7.1 版 本 
开始 ，Docker 开始 使 用 动态 库 ， 这 意味 着 任何 依赖 关系 都 要 一 并 挂 载 。 与 其 花 时 间 找 出 需 
要 挂 载 及 更 新 的 程序 库 ， 不 如 简单 地 在 镜像 中 安装 Docker。 


现在 ，Docker 已 经 能 够 在 容器 中 运行 ， 接 下 来 可 以 安装 其 他 需要 的 东西 ， 让 这 个 Jenkins 
容器 能 真正 起 作用 。 将 Dockerfile 更 新 如 下 : 


FROM jenkins:1.609.3 

















USER root 
RUN echo "deb http://apt.dockerproject.org/repo debian-jessie main" \ 
> /etc/apt/sources.list.d/docker .list \ 
&& apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 \ 
--recv-keys 58118E89F3A912897C070ADBF76221572C52609D \ 
&& apt-get update \ 





&& apt-get install -y apt-transport-https \ 
&& apt-get install -y sudo \ 
&& apt-get install -y docker-engine \ 
&& rm -rf /var/lib/apt/lists/* 
RUN echo "jenkins ALL=NOPASSWD: ALL" >> /etc/sudoers 


RUN curl -L https://github.com/docker/compose/releases/download/1.4.1/\ 
docker-compose- ‘uname -s’-‘uname -m” > /usr/\local/bin/docker-compose; \ 
chmod +x /usr/LocaL/bin/docker-compose OO 


USER jenkins 
COPY plugins.txt /usr/share/jenkins/plugins.txt @ 
RUN /usr/local/bin/plugins.sh /usr/share/jenkins</plugins.txt 


@ 安装 Docker Compose， 它 将 用 于 构建 和 运行 我 们 的 镜像 。 

@ 把 plugins.txt 文件 复制 进来 并 执行 一 些 处 理工 作 ， 这 个 文件 定义 了 安装 到 Jenkins 的 插 
件 列表 。 

在 Dockerfile 同一 目录 下 创建 plugins.txt 文件 ， 内 容 包 括 : 


scm-api:0.2 
git-client:1.16.1 
Qt: 253525 
greenballs:1.14 


前 三 个 插件 提供 了 接口 ， 让 我 们 能 够 访问 identidock 项 目的 Git 仓库 。“greenballs” 插 件 将 
默认 代表 Jenkins 构建 成 功 的 蓝 色 球 禁 换 成 绿色 的 。 


现在 差不多 已 准备 好 启动 我 们 的 Jenkins 容器 ， 并 开始 进行 镜像 构建 的 配置 ， 但 首先 应 该 
创建 一 个 数据 容器 ， 使 我 们 的 配置 能 持久 保留 : 


$ docker build -t identijenk . 


















































$ docker run --name jenkins-data identijenk echo "Jenkins Data Container" 
Jenkins Data Container 


我 们 刚才 利用 Jenkins 镜像 作为 数据 容器 ， 因 此 可 以 肯定 权限 设置 是 正确 的 。 当 echo 命令 
完成 的 时 候 ， 容 器 便 会 退出 ， 但 只 要 它 还 没 被 删除 ， 就 能 用 于 --volumes-fronm 参数 。 有 关 
数据 容器 的 详情 ， 请 参阅 4.5 市 。 
现在 已 准备 好 启动 Jenkins 容器 : 
$ docker run -d --name jenkins -p 8080:8080 \ 
--volumes-from jenkins-data \ 
-v /var/run/docker.sock:/var/run/docker .sock \ 
identijenk 
75c4b300ade6a62394a328153b918c1dd58c5f6b9ac0288d46e02d5c593929dc 
如 果 在 浏览 器 中 打开 http://localhost:8080， 应 该 会 看 到 Jenkins 正在 初始 化 。 稍 后 会 开始 配 
置 identidock 项 目的 镜像 构建 及 测试 。 但 在 此 之 前 ， 我 们 需要 对 identidock 项 目 做 一 个 小 
改动 。 目 前 ， 项目 中 的 docker-compose.yml 文件 启动 的 是 开发 版 的 identidock， 但 我 们 即 
将 开发 一 些 系 统 测 试 ， 并 且 和 希望 这 些 测试 能 够 在 更 接近 生产 环境 的 环境 中 运行 。 出 于 这 个 
原因 ， 我 们 需要 创建 一 个 新 的 jenkins.yml 文件 ， 我 们 将 会 用 它 在 Jenkins 中 启动 identidock 
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的 生产 版 本 : 


identidock: 

build: . 
expose: 

- "9090" © 
environment: 

ENV: PROD @ 
Links : 

- dnmonster 

- redis 


dnmonster: 
image: amouat/dnmonster:1.0 


redis: 
image: redis:3.0 


@ 由 于 Jenkins 位 于 同一 级 容器 ， 我 们 可 以 连接 它 ， 却 无 需 在 主机 上 发 布 端口 。 其 中 的 
expose 指令 主要 是 为 了 记录 而 已 ， 即 使 没有 它 ， 如 果 你 没有 修改 过 默认 的 网 络 设 置 ， 
也 仍然 可 以 从 Jenkins 访问 identidock 容器 。 

@ 把 环境 设置 为 生产 环境 。 


个 文件 需要 添加 到 identidock 源码 库 ，Jenkins 将 会 从 该 库 中 获取 源码 。 假 如 你 之 前 已 
经 配置 了 一 个 自己 的 源码 库 ， 你 可 以 把 它 添加 到 那里 ,或 者 使 用 现 有 的 源码 库 (https:// 
github.com/using-docker/identidock ) 。 


现在 已 准备 就 绕 ， 可 以 开始 配置 Jenkins 的 构建 工作 了 。 打 开 Jenkins 的 网 页 界面 (http:/ 
localhost:8080) ， 并 按照 以 下 的 说 明 操 作 。 


(1) 点 击 “create new jobs” 链 接 。 

(2) 输 入 “identidock” 作 为 “Item name”， 选 择 “Freestyle project”， 然 后 点 击 OK。 

(3) 配置 “Source Code Management” 选 项 。 如 果 你 使 用 的 是 公开 的 GitHub 仓库 ， 只 需 选 
择 “Git” 并 输入 仓库 的 URL。 如 果 你 使 用 的 是 私有 仓库 ， 你 将 需要 配置 某 种 形式 的 身 
份 认证 [包括 BitBucket 在 内 的 一 些 仓库 ， 均 备 有 部 署 钥匙 (deployment keys) 可 用 于 
设置 只 读 访问 ， 可 以 满足 这 个 需要 ]。 除 此 以 外 ， 也 可 以 使 用 GitHub 上 的 版 本 (https:// 
github.com/using-docker/identidock ) 。 

(4) 点 击 “Add build step”， 然 后 选择 “Execute shell” 。 在 “Command” 框 中 ， 输 入 以 下 内 容 : 


#DefauLt compose args 
COMPOSE_ARGS=" -f jenkins.ymL -p jenkins " 

































































#Make sure old containers are gone 
sudo docker-compose $COMPOSE ARGS stop © 
sudo docker-compose $COMPOSE ARGS rm --force -v 


#build the system 
sudo docker-compose $COMPOSE_ARGS build --no-cache 
sudo docker-compose $COMPOSE _ARGS up -d 


#RUn unit tests 
sudo docker-compose $COMPOSE_ARGS run --no-deps --rm -e ENV=UNIT identidock 
ERR=$? 
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#Run System test if unit tests passed 
if [ SERR -eq 0 ]; then 
IP=$(sudo docker inspect -f {{.NetworkSettings.IPAddress}} \ 
jenkins_identidock 1) @ 
CODE=$(curl -slL -w "%{http_code}" $IP:9090/monster/bla -o /dev/null) || true © 
if [ $CODE -ne 200 ]; then 
echo "Site returned " $CODE 
ERR=1 
fi 
fi 


#PULL down the system 
sudo docker-compose $COMPOSE_ARGS stop 
sudo docker-compose $COMPOSE ARGS rm --force -v 


return SERR 


@ 注意 这 里 使 用 了 sudo 来 调用 Docker Compose， 因 为 之 前 说 过 ，Jenkins 用 户 不 在 docker 
用 户 组 里 。 

@ 通过 docker inspect 命令 来 找 出 identidock 容器 的 IP 地 址 。 

@ 利用 curl 访问 identidock 服务 ， 并 查 到 它 返 回 的 HTTP 码 是 200， 这 代表 它 能 正常 工作 。 
请 注意 ， 我 们 使 用 路 径 /monster/bla 以 确保 identidock 可 以 连接 到 dnmonster 服务 。 








你 也 可 以 在 GitHub 上 找到 这 上段 代码 (https://github.com/using-docker/ci-testing)。 像 这 样 的 
脚本 一 般 会 与 其 他 代码 一 起 提交 到 源码 控制 系统 ， 但 就 我 们 这 个 例子 而 言 ， 简 单 地 把 它 粘 
贴 到 Jenkins 就 可 以 了 。 


现在 ， 点 击 “Save” 后 再 点 击 “Build Now”， 就 能 开始 测试 了 。 点 击 build ID ， 然 后 选择 
“Console Output”， 就 能 查看 构建 时 的 详细 信息 。 你 应 该 会 看 到 类 似 图 8-2 的 画面 
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8-2: Jenkins 构建 成 功 
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目前 为 止 ，Jenkins 的 表现 都 相当 不 错 。 我 们 成 功 地 将 Docker 运行 起 来 ， 并 针对 我 们 的 应 
用 让 它 执行 了 单元 测试 ， 以 及 一 个 简单 的 “ 冒 烟 测 试 *"。 如 果 它 是 一 个 真正 的 应 用 ， 我 们 
会 继续 开发 一 套 完整 的 测试 ， 以 确保 应 用 程序 正常 运作 ， 并 能 处 理 各 种 不 同 的 输入 。 但 由 
于 它 只 是 一 个 简单 的 演示 ， 做 到 这 种 程度 就 已 经 足够 了 。 


触发 构建 

直到 现在 ， 构 建 都 是 由 手动 点 击 “Build Now” 所 触发 的 。 如 果 当 GitHub 项 目 有 新 的 源码 
提交 时 ， 构 建 便 会 自动 发 生 ， 那 么 将 是 一 个 很 显著 的 提升 。 要 实现 这 个 功能 ， 可 以 启用 位 
于 identidock 配置 中 的 “Poll SCM” 方 法 ， 并 在 文本 框 中 输入 “H/5 * * * *”。 这样 做 之 后 ， 
Jenkins 便 会 每 5 分 钟 检查 一 下 源码 库 有 没有 任何 变化 ， 如 果 发 现 变化 ， 就 会 安排 执行 一 次 
构建 。 

这 是 一 个 简单 易 行 的 解决 方法 ， 但 它 有 点 浪费 资源 ， 而 且 构 建 会 有 最 多 5 分 钟 的 持续 玄 
后 。 更 好 的 方法 是 配置 仓库 ， 让 它 能 够 在 变化 发 生 的 时 候 通知 Jenkins。 这 个 功能 可 以 通过 
BitBucket 或 GitHub 的 Web Hook 实现 ， 但 要 求 Jenkins 的 服务 器 能 够 在 公共 网 络 访问 得 到 。 
































使 用 Docker Hub 镜像 

说 到 这 里 ， 有 些 人 可 能 会 问 :“ 为 什么 我 们 要 构建 镜像 呢 ? ”如 果 你 跟着 上 一 
节 做 了 ， 你 应 该 已 经 有 一 个 在 Docker Hub 上 的 自动 构建 ， 当 源码 提交 到 仓 
库 时 ， 自 动 构建 就 会 被 触发 。 你 可 以 利用 这 个 特性 ， 并 通过 Docker Hub 的 
Webhook 功能 ， 让 Docker Hub 的 自动 构建 结束 后 自动 启动 Jenkins 的 构建 。 
这 样 做 的 话 ， 我 们 的 脚本 就 只 需 下 载 而 不 需 构建 镜像 。 但 这 也 需要 Jenkins 
服务 器 能 够 在 公共 网 络 被 访问 得 到 。 

这 个 方案 或 许 对 只 需 创建 独立 Docker 镜像 的 小 型 项 目 有 用 ， 但 对 于 大 型 项 
目 ， 它 们 可 能 更 需要 自己 能 够 控制 构建 ， 以 获得 更 快 的 速度 及 更 高 的 安全 性 。 


At a 

8.3 ”推送 镜像 

既然 identidock 镜像 已 经 通过 测试 了， 现在 是 时 候 找 方法 让 它 进入 工作 流 的 下 一 环 季 。 首 
先 给 镜像 一 个 标签 ， 并 将 它 推送 到 寄存 服务 。 完 成 这 一 步 之 后 ， 工 作 流 的 下 一 环 市 就 会 有 
一 个 可 用 的 镜像 ， 可 以 把 它 推送 到 准 生 产 或 生产 环境 中 。 


8.3.1 给 镜像 正确 的 标签 


在 一 个 基于 容器 的 工作 流 中 ， 给 镜像 正确 的 标签 对 维护 其 控制 权 和 出 处 至 关 重 要 。 一 旦 弄 
错 了 ， 你 就 会 发 现 ， 在 生产 环境 中 有 些 镜像 很 难 回溯 它 的 构建 源头 〈 虽 然 并 非 不 可 能 ， 但 
或 许 会 非常 困难 )， 这 就 造成 了 调试 和 维护 的 不 必要 的 麻烦 。 对 于 任何 一 个 镜像 ， 我 们 应 
当 能 够 确切 指出 用 于 创建 它 的 Dockerfile 和 构建 上 下 文 。” 







































































注 5: 请 注意 ， 这 并 不 保证 你 能 够 重新 创建 一 个 相同 的 容器 ， 因 为 依赖 关系 可 能 已 经 发 生 改 变 。 在 13.6.3 市 
中 你 会 看 到 怎样 应 对 这 种 情况 。 
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任何 时 候 标 签 都 可 以 被 覆盖 和 改变 。 因 此 ， 必 须 由 你 来 建立 和 实施 一 个 可 靠 的 流程 来 规定 
镜像 的 标签 和 版 本 准则 。 


在 我 们 的 范例 程序 中 将 对 镜像 添加 两 个 标签 : 源码 库 的 git 散 列 值 以 及 newest。 在 这 个 方 
法 中 ，newest 标签 会 一 直 用 于 已 通过 测试 的 最 新 版 本 ， 而 我 们 可 以 使 用 git 散 列 值 恢复 任 
何 镜像 的 构建 文件 。 鉴 于 之 前 在 7.1 市 的 警示 信息 “当心 latest 标签 ”中 讨论 过 的 问题 ， 
我 刻意 避免 了 使 用 Latest 标签 。 现 在 让 我 们 更 新 Jenkins 的 构建 脚本 : 


#Default compose args 
COMPOSE_ARGS=" -f jenkins.yml -p jenkins " 











#Make sure old containers are gone 
sudo docker-compose $COMPOSE_ARGS stop 
sudo docker-compose $COMPOSE ARGS rm --force -v 


#build the system 
sudo docker-compose $COMPOSE_ARGS build --no-cache 
sudo docker-compose $COMPOSE _ARGS up -d 


#Run unit tests 
sudo docker-compose $COMPOSE_ARGS run --no-deps --rm -e ENV=UNIT identidock 
ERR=$? 


#Run system test if unit tests passed 
if [ SERR -eq 0 ]; then 
IP=$(sudo docker inspect -f {{.NetworkSettings.IPAddress}} \ 
jenkins_identidock_1) 
CODE=$ (curl -SL -w "%{http_code}" $IP:9090/monster/bla -o /dev/null) || true 
if [ $CODE -eq 200 ]; then 
echo "Test passed - Tagging" 
HASH=$ (git rev-parse --short HEAD) © 
sudo docker tag -f jenkins identidock amouat/identidock:$HASH 加 
sudo docker tag -f jenkins_identidock amouat/identidock:newest 加 
echo "Pushing" 
sudo docker login -e joe@bloggs.com -uy jbloggs -p jbloggs123 © 
sudo docker push amouat/identidock:$HASH @ 
sudo docker push amouat/identidock:newest @ 
else 
echo "Site returned " $CODE 
ERR=1 
fi 
ff 


#PULL down the system 
sudo docker-compose $COMPOSE_ARGS stop 
sudo docker-compose S$COMPOSE_ARGS rm --force -v 


return SERR 


@ 取得 git 散 列 值 的 短 式 。 
@ 添加 标签 。 

@ 登录 寄存 服务 。 

@ 把 镜像 推送 到 寄存 服务 。 
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注意 ， 你 需要 针对 将 要 推送 的 目标 仓库 来 命名 标签 。 假 设 你 的 仓库 和 运行 在 myhost:5066 之 
上 ， 那 么 标签 应 为 myhost:5000/identidock:newest。 同 样 ， 你 还 需要 修改 docker Login 命 
令 中 的 用 户 信息 。 

如 果 你 现在 重新 进行 构建 ， 会 发 现 脚 本 已 经 懂得 添加 标签 并 把 镜像 推送 到 寄存 服务 器 ， 准 
备 好 进入 工作 流 的 下 一 环节 。 对 于 我 们 的 示例 应 用 来 说 ， 这 样 已 经 很 不 错 了 ;， 对 大 多 数 希 
望 建 立 这 套 流 程 的 项 目 而 言 ， 这 也 是 个 很 好 的 范例 。 但 随 着 程序 的 复杂 度 增加 ， 可 能 你 需 
要 使 用 更 多 标签 及 更 具 描述 性 的 名 称 。git describe 是 个 很 有 用 的 命令 ， 它 能 够 基于 标签 
生成 更 有 意义 的 名 称 。 


找 出 镜像 的 所 有 标签 
镜像 的 每 个 标签 都 是 独立 存储 的 。 这 意味 着 ， 要 找 出 镜像 的 所 有 标签 ， 就 需 
要 过 滤 基 于 镜像 ID 的 完整 镜像 列表 。 以 标签 为 amouat/identidock:latest 
的 镜像 作为 例子 ， 要 找 出 它 的 所 有 标签 ， 可 以 这 样 做 : 
$ docker images --no-trunc | grep \ 
$s(docker inspect -f {{.Id}} amouat/identidock:newest) 
amouat/identidock 51f6152 96c7b4c094c8f76ca82b6206f.. . 


amouat/identidock newest “96c7b4c094c8f76ca82b6206f. . . 
jenkins_identidock latest 96c7b4c094c8f76ca82b6206f... 


可 以 看 到 ， 同 一 镜像 也 有 另 一 个 标签 ， 叫 作 51f6152。 

请 记 住 ， 你 只 会 看 到 存在 于 你 的 镜像 缓存 中 的 标签 。 举 个 例子 ， 假 如 下 载 
标签 为 debian:latest 的 镜像 ， 那 么 是 不 会 有 debian:7 标签 的 ， 即 使 (在 
写作 的 时 候 ) 它们 的 镜像 ID 一 样 。 同 样 ， 如 果 我 同时 有 debian:latest 
和 debian:7 两 个 镜像 ， 并 下 载 了 新 版 本 debian:latest， 那 么 已 标签 为 
debian:7 的 镜像 将 不 会 受到 影响 ， 它 将 仍然 与 之 前 的 镜像 关联 。 









































8.3.2 ” 准 生 产 及 生产 环境 


一 旦 图 像 通 过 测试 ， 附 上 标签 并 推送 到 寄存 服务 器 ， 它 就 需要 供 工 作 流 的 下 一 阶段 使 用 ， 
可 能 是 准 生 产 或 生产 环境 。 我 们 有 多 个 实现 方式 ， 包 括 使 用 寄存 服务 的 webhook 通知 
(https://docs.docker.com/registry/notifications/)， 或 利用 Jenkins 调用 下 一 步 。 


8.3.3 镜像 数量 激增 的 问题 

在 生产 系统 中 ， 你 需要 解决 镜像 数量 激增 的 问题 。 你 需要 定期 清理 Jenkins 服务 器 的 镜 
像 ， 还 需要 控制 寄存 服务 器 中 的 镜像 数目 ， 否 则 服务 器 便 会 迅速 被 陈旧 过 时 的 镜像 占 满 。 
其 中 一 个 解决 方法 是 ， 设 定 一 个 时 间 ， 将 该 时 间 之 前 的 镜像 全 部 删除 ， 如 果 空 间 允 许 的 
话 ， 也 可 以 把 它们 备份 起 来 。" 还 有 其 他 产品 能 够 提供 更 先进 的 功能 ， 像 CoreOS Enterprise 


















































注 6: 在 撰写 这 部 分 的 时 候 ， 如 果 Docker 寄存 服务 器 是 在 本 地 搭建 的 话 ， 鉴 于 当时 删除 功能 尚未 实现 ， 这 
一 点 说 起 来 容易 做 起 来 难 。 在 实现 之 前 还 有 一 些 难点 需要 克服 ， 分 发 路 线 图 (https://github.com/ 
docker/distribution/blob/master/rROADMAP.md) 中 对 这 些 问 题 有 详细 描述 。 














Registry 或 Docker Trusted Registry， 它 们 都 具备 一 些 管理 仓库 的 高 级 功能 。 


确保 测试 的 镜像 是 正确 的 

你 必须 确保 用 于 测试 的 容器 镜像 与 运行 在 生产 环境 中 的 是 同一 个 ， 这 是 非常 
重要 的 。 千 万 不 要 在 测试 环境 中 用 Dockerfile 构建 镜像 后 ， 又 在 生产 环境 中 
重新 构建 一 次 一 一 一 定 要 确保 真正 运行 时 的 镜像 是 之 前 测试 通过 的 ， 并 且 其 
中 没有 任何 无 意 间 的 改动 。 出 于 这 个 原因 ， 应 用 某 种 形式 的 寄存 服务 或 存 
储 ， 使 镜像 可 以 运行 在 测试 、 准 生产 和 生产 环境 里 ， 是 非常 必要 的 。 


























8.3.4 使 用 Docker 部 署 Jenkins slaves 

随 着 构建 的 需求 增加 ， 运 行 测试 所 需 的 资源 也 越 来 越 多 。Jenkins 有 一 个 概念 叫 作 “build 
slaves"， 它 主要 是 一 个 执行 任务 的 集群 ， 让 Jenkins 将 构建 任务 分 派 到 集群 里 的 机 器 。 

如 果 你 希望 使 用 Docker 来 动态 部 署 slaves， 请 参阅 Docker 的 Jenkins 插件 (https://wiki. 
jenkins-ci.org/display/JENKINS/Docker+Plugin ) 。 


8.4 备份 Jenkins 数 据 


由 于 我 们 的 Jenkins 服务 使 用 了 数据 容器 ， 备 份 Jenkins 的 数据 非常 简单 ; 


$ docker run --volumes-from jenkins-data -v $(pwd):/backup \ 
debian tar -zcvf /backup/jenkins-data.tar.gz /var/jenkins_home 


这 个 命令 会 在 $(pwd)/backup 目录 下 产生 一 个 jenkins-data.tar.gz 文件 。 在 执行 这 个 命令 之 
前 ， 你 可 能 需要 先 把 Jenkins 容器 停止 或 暂停 。 之 后 你 就 可 以 执行 如 下 的 命令 来 创建 一 个 
新 的 数据 容器 ， 并 在 它 内 部 把 备份 数据 解 开 : 

$ docker run --name jenkins-data2 identijenk echo "New Jenkins Data Container" 

$ docker run --volumes-from jenkins-data2 -v $(pwd):/backup \ 

debian tar -xzvf /backup/backup.tar 

但 是 这 个 方法 需要 你 知道 容器 的 详细 挂 载 目 录 ， 而 这 古 可 以 通过 检视 容器 来 自动 处 理 的 ， 
因此 也 可 以 使 用 诸如 docker-backup (https://github.com/discordianfish/docker-backup) 的 工 
有 具 来 帮助 你 完成 这 个 任务 ， 而 我 期 竺 未 来 Docker 会 对 这 种 工作 流程 有 更 多 的 支持 。 


8.5 ”持续 集成 的 托管 解决 方案 


持续 集成 的 托管 解决 方案 有 不 少 ， 从 云端 提供 与 维护 Jenkins 服务 的 公司 ， 到 更 专业 的 
解决 方案 提供 商 ， 如 Travis (https://travis-ci.org)、Wercker (http://www.wercker.com/)、 
CircleCI (https://circleci.com/) 以 及 drone.io (https://drone.io/)。 大 多 数 解 决 方案 似乎 都 是 
针对 在 某 种 特定 的 语言 本 上 运行 单元 测试 ， 而 不 是 面向 容器 进行 系统 测试 。 目 前 这 方面 好 
像 有 一 些 进 展 ， 我 期 待 能 看 到 测试 Docker 容器 的 产品 早日 面世 。 
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DM tI 
8.6 测试 与 微服 务 
如 果 你 使 用 Docker， 那 么 你 很 可 能 已 经 采用 了 微服 务 架 构 。 当 测试 一 个 微服 务 架 构 时 ， 测 
试 可 以 分 为 不 同 的 级 别 ， 如 何 测 试 以 及 测试 什么 将 由 你 来 决定 。 基 本 的 测试 框架 可 以 包括 
以 下 内 容 。 
单元 测试 
每 个 服务 "都 应 该 有 一 套 详尽 的 单元 测试 。 单 元 测试 应 该 只 测试 一 小 块 独立 的 功能 。 你 
可 以 使 用 测试 替身 来 代替 该 功能 所 依赖 的 其 他 服务 。 由 于 测试 的 数量 很 多 ， 为 了 鼓励 开 
发 者 经 常 执行 测试 ， 以 及 避免 把 时 间 花 在 等 竺 测试 返回 结果 上 ， 尽 量 减 少 测试 的 运行 时 
间 非 常 重要 。 在 你 的 系统 的 所 有 测试 当中 ， 单 元 测试 所 占 的 比例 应 该 最 高 。 
组 件 测 试 


这 一 类 测试 的 级 别 ， 可 以 是 针对 各 个 服务 的 外 部 接口 ， 或 是 针对 一 组 服务 的 子 系统 。 在 
这 两 种 情况 下 ， 你 都 很 可 能 会 发 现 测 试 中 存在 依赖 于 其 他 服务 的 部 分 ， 这 时 候 便 需要 按 
照 前 文 所 述 ， 将 其 替换 为 测试 奉 身 。 你 或 许 还 会 发 现 ， 通 过 这 些 服务 的 API 提供 的 指 
标 和 日 志 数 据 有 助 于 测试 ， 但 你 必须 确保 它们 使 用 的 命名 空间 与 正式 执行 时 的 API 不 
是 同一 个 (例如 使 用 不 同 的 URL 前 缀 )。 

竟 到 端 测 试 (end-to-end tests) 
这 种 测试 确保 整个 系统 正常 运作 。 由 于 执行 这 种 测试 的 成 本 相当 昂贵 (资源 和 时 间 方 
面 )， 它 们 应 该 为 数 不 多 你 绝对 不 想 花 几 个 小 时 来 执行 它们 ， 从 而 导致 部 署 和 发 布 
问题 修正 的 时 间 被 延误 (可 以 萎 虑 我 将 介绍 的 定时 任务 )。 也 有 可 能 部 分 系统 不 可 测 ， 
或 者 测试 的 成 本 极 昂 贵 ， 这 种 情况 下 可 能 仍然 需要 使 用 测试 炎 身 (你 不 会 在 测试 中 真正 
发 射 核 导 弹 吧 )。 我 们 在 identidock 中 的 测试 便 属于 一 种 端 到 端 测试 ， 这 个 测试 把 整个 
系统 从 头 到 尾 运 行 一 遍 ， 而 且 没 有 使 用 测试 赫 身 。 

此 外 ， 你 可 能 还 需要 考虑 下 列 测试 。 

使 用 方 契 约 测 试 (consumer-contract tests) 


这 类 测试 也 称 为 使 用 方 驱动 契约 ， 由 服务 的 使 用 方 负 责编 写 ， 它 定义 了 对 于 该 服务 预期 
的 输入 和 输出 数据 ， 还 可 以 包括 可 能 出 现 的 副作用 (状态 的 改变 ) 和 性 能 的 预期 。 每 个 
该 服务 的 使 用 方 应 该 有 单独 的 契约 。 这 种 调试 的 好 处 是 ， 它 让 开发 该 服务 的 人 员 知 道 何 
时 出 现 有 可 能 对 兼容 性 有 影响 的 风险 ， 当 契约 测试 失败 时 ， 他 们 会 选择 或 者 对 服务 进行 
修改 ， 或 者 需要 与 服务 使 用 方 的 开发 人 员 一 起 商讨 怎么 改变 契约 。 
集成 测试 

这 类 调试 的 目的 是 确保 每 个 组 件 之 间 的 通信 渠道 均 运行 正确 。 这 类 测试 对 微服 务 架 构 非 
常 重要 ， 因 为 其 中 组 件 与 组 件 之 间 需 要 大 量 的 紧密 连接 与 协调 ， 要 比 传统 的 单一 架构 系 
统 高 出 一 个 数量 级 。 但 是 ， 你 可 能 会 发 现 大 部 分 的 通信 渠道 都 已 经 由 组 件 测 试 和 端 到 端 
测试 覆盖 了 。 













































































注 7: 通常 情况 下 ， 每 个 服务 都 有 一 个 容器 ， 如 果 服 务 需要 更 多 资源 ， 也 可 能 使 用 多 个 容器 。 
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定时 任务 
由 于 需要 尽量 保持 持续 集成 能 在 短 时 间 内 执行 完毕 ， 我 们 往往 没有 足够 的 时 间 来 运行 全 
方位 的 测试 ， 例 如 针对 不 常见 的 配置 或 针对 不 同 平台 。 不 过 ， 我 们 可 以 安排 在 晚上 执行 
它们 ， 那 时 候 能 有 剩余 资源 可 供 使 用 。 


这 些 测试 中 的 许多 可 以 被 分 类 为 寄存 服务 前 (preregistry) 和 寄存 服务 后 (postregistry)， 
取决 于 测试 是 在 镜像 添加 到 寄存 服务 之 前 还 是 之 后 。 例 如 ， 单 元 测试 属于 寄存 服务 前 : 
假如 单元 测试 失败 ， 那 么 镜像 就 不 应 该 被 推送 到 寄存 服务 中 。 这 一 情况 同样 适用 于 一 些 
使 用 方 契约 测试 和 一 些 组 件 测 试 。 另 一 方面 ， 在 进行 端 到 端 测 斌 前， 镜像 必 须 已 被 推送 
到 寄存 服务 。 如 果 寄 存 服务 后 的 测试 失败 ， 那 么 就 要 认真 思考 下 一 步 该 怎么 做 了 。 虽 然 
遇 到 这 种 情况 时 ， 任 何 新 的 镜像 都 不 应 该 再 被 推送 到 生产 环境 (或 者 如 果 它 们 已 经 部 署 
了 ， 就 应 该 回 深 ) ， 但 实际 上 问题 可 能 是 由 其 他 镜像 造成 的 ， 或 者 是 由 旧 的 镜像 ， 甚 至 有 
可 能 是 由 新 镜像 之 间 的 相互 影响 造成 的 。 这 类 问题 可 能 需要 更 深层 的 调查 和 思考 才能 得 
到 正确 解决 。 


在 生产 环境 中 测试 


最 后 ， 你 可 能 想 了 解 一 下 如 何在 生产 环境 中 进行 测试 。 别 担心 ， 这 并 不 像 听 起 来 那么 疯 
狂 。 尤 其 是 在 生产 环境 中 ， 你 将 要 处 理 大 量 用 户 以 及 各 种 不 同 的 环境 和 配置 ， 测 试 它们 并 
不 容易 ， 但 正 因为 如 此 才 更 有 测试 的 必要 。 


一 种 常见 的 测试 方法 叫 作 蓝 / 绿 部 署 (blue/green deployment) 。 假 设 我 们 打算 更 新 目前 在 
生产 环境 中 的 一 个 服务 ， 暂 上 且 把 这 个 版 本 称 为 “ 蓝 色 ”版 本 ， 而 更 新 后 的 版 本 称 之 为 “ 绿 
色 ” 版 本 。 虽 然 可 以 简单 地 用 绿色 版 本 替换 蓝 色 版 本 ， 但 我 们 不 这 样 做 ， 而 是 选择 在 一 段 
时 间 内 同时 运行 这 两 个 版 本 。 当 绿色 版 本 运行 起 来 后 ， 我 们 就 把 所 有 网 络 通信 一 下 转 到 绿 
色 版 本 去 。 然 后 ， 我 们 监测 系统 ， 观 察 它 的 行为 是 否 有 任何 意外 变化 ， 例 如 错误 率 或 网 络 
延迟 的 增加 。 如 果 不 满 意 新 版 本 的 表现 ， 我 们 所 要 做 的 只 是 把 生产 版 本 立即 转 回 蓝 色 版 
本 。 一 且 我 们 对 系统 运行 顺畅 感到 满意 ， 就 可 以 将 蓝 色 版 本 关闭 。 


其 他 的 方法 也 遵循 类 似 的 原理 ， 即 同时 运行 新 旧 两 个 版 本 。 在 A/B 测试 ， 或 多 变量 测试 
(multivariate testing) 中 ， 两 个 〈 或 多 个 ) 版 本 的 服务 在 测试 期 间 同时 运行 ， 而 使 用 这 个 服 
务 的 用 户 会 被 随机 分 配 到 其 中 一 个 。 测 试 期 间 会 收集 某 些 统计 数据 ， 并 根据 测试 结束 时 的 
结果 保留 其 中 一 个 版 本 。 在 渐 增 式 部 署 (ramped deployment) 中 ， 服 务 的 新 版 本 只 会 提供 
给 一 小 部 分 用 户 。 如 果 这 些 用 户 没有 发 现 问 题 ， 那 么 这 个 新 版 本 就 会 逐步 向 越 来 越 多 的 用 
户 提供 。 至 于 阴影 测试 (shadowing)， 所 有 请 求 都 会 让 两 个 版 本 的 服务 进行 处 理 ， 但 真正 
使 用 的 只 有 来 自 旧版 本 即 稳定 版 的 结果 。 通 过 比较 新 旧 两 个 版 本 的 结果 ， 就 能 确保 新 版 本 
的 行为 与 旧版 本 一 模 一 样 (或 者 有 所 差异 ， 不 过 是 符合 预期 的 )。 阴 影 测试 尤其 适用 于 测 
试 没有 改变 功能 的 新 版 本 ， 例 如 只 是 性 能 提升 的 新 版 本 。 


8.7 ”总结 


本 章 的 核心 思想 就 是 容器 天 生 适 用 于 持续 集成 与 持续 交付 的 工作 流 。 当 应 用 于 这 些 场景 
时 ， 有 几 件 事情 必须 谨 记 ， 其 中 最 重要 的 就 是 在 工作 流 中 的 每 一 步 都 必须 使 用 同一 个 镜 




















































































































































































































Docker 持 续集 成 与 测试 | 111 


像 ， 而 不 应 该 重新 构建 。 尽 管 如 此 ， 使 容器 能 够 适 配 现 有 的 持续 集成 工具 应 该 不 会 有 太 多 
问题 ， 而 且 未 来 将 会 有 更 专业 的 工具 出 现在 这 个 领域 。 

如 果 你 正 尝 试 使 用 大 型 的 微服 务 架构 ， 不 妨 花 更 多 的 时 间 来 思考 测试 方法 ， 以 及 研究 本 章 
中 提 到 的 一 些 技术 。 




















现在 是 时 候 涉 足 业 务 方面 的 事情 了 ， 我 们 要 开始 思考 如 何 真正 在 生产 环境 中 使 用 Docker。 
在 撰写 这 本 书 的 时 候 ， 大 家 都 在 谈论 Docker， 很 多 人 在 试验 它 ， 但 真正 把 Docker 应 用 于 
生产 的 相对 来 说 还 是 少数 。 尽 管 批评 者 有 时 会 指出 这 是 Docker 的 失败 ， 但 他 们 似乎 忽略 
了 几 个 关键 点 。 虽 然 Docker 的 出 现时 间 相对 较 晚 ， 但 已 经 有 很 多 人 开始 在 生产 环境 中 使 
用 它 (包括 Spotify、Yelp 和 百度 )， 这 是 非常 令 人 鼓舞 的 事情 ， 而 即使 只 是 在 开发 和 测试 
中 使 用 它 的 人 也 获 益 良 多 。 


话 虽 如 此 ,今天 在 生产 环境 中 使 用 容器 是 完全 可 能 且 合 理 的 。 较 大 型 的 项 目 和 机 构 可 能 希 
望 从 小 入 手 ， 慢 慢 把 规模 扩大 ， 但 对 于 大 部 分 项 目 而 言 ， 它 已 经 是 个 可 行 和 直接 的 解决 方 
案 了 。 


就 目前 的 情况 来 看 ， 部 署 容器 的 最 常用 方法 是 先 把 虚拟 机 部 署 好 ， 然 后 在 虚拟 机 上 启动 容 
器 。 这 并 不 是 理想 的 解决 方案 一 一 这 样 做 会 产生 大 量 开销 ， 拖 延 扩 展 ， 并 且 强 制 用 户 进 行 
多 容器 粒度 的 部 署 。 在 虚拟 机 上 运行 容器 的 主要 原因 只 是 为 了 安全 。 你 必须 保证 客户 无 法 
访问 其 他 客户 的 数据 或 网 络 通信 ， 然 而 容器 目前 在 隔离 性 方面 提供 的 保障 还 比较 脆弱 。 此 
外 ， 如 果 有 某 个 容器 独占 了 内 核资 源 ， 或 者 造成 内 核 错误 ， 这 将 影响 在 同一 台 主 机 上 运行 
的 所 有 容器 。 即 使 大 多 数 专门 的 解决 方案 ， 如 谷歌 的 Google Container Engine (GKE) 和 
亚马逊 的 Amazon EC2 Container Service (ECS)， 内 部 也 仍然 使 用 虚拟 机 。 不 过 目前 有 两 
个 例外 ， 一 个 是 Giant Swarm， 另 一 个 是 Joyent 公司 的 Triton， 后 面 将 会 讨论 到 。 

本 意 将 介绍 如 何 把 我 们 简单 的 Web 应 用 部 署 到 一 系列 的 云 平台 ， 以 及 专门 的 Docker 托 管 
服务 上 。 本 章 还 会 涉及 在 公有 云 和 私有 网 络 的 生产 环境 中 运行 容器 时 将 会 遇 到 的 一 些 问 题 
和 采用 的 技术 手段 。 
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本 章 的 代码 见于 本 书 的 GitHub 仓库 (https://github.com/using-docker/deploying- 
containers) 。 我 们 不 会 再 用 之 前 的 Python 代码 构建 镜像 ， 但 还 会 继续 使 用 已 
经 创建 好 的 镜像 。 你 可 以 选择 使 用 你 自己 的 identidock 镜像 ， 或 者 直接 使 用 
amouat/identidock 仓库 。 
你 可 以 通过 v9 标签 获取 这 一 章 开始 时 的 代码 : 


$ git clone -b vo \ 
https://github.com/using-docker/deploying-containers/ 














后 面 的 标签 代表 代码 在 本 章 中 演变 的 各 个 阶段 。 
除 此 以 外 ， 你 也 可 以 在 GitHub 项 目的 Releases 页 面 (https://github.com/using- 
) 下 载 各 个 标签 的 代码 。 





docker/deploying-containers/releases 


9.1 通过 Docker Machine 配 置 资源 


Docker Machine 是 一 种 配置 新 资源 的 最 快 且 最 简单 的 方式 ， 并 能 让 容器 在 其 上 运行 。 
Docker Machine 能 够 创建 服务 器 、 在 服务 器 上 安装 Docker， 以 及 配置 本 地 Docker 客户 端 ， 
让 它们 能 够 访问 服务 器 。Docker Machine 自 带 了 很 多 驱动 ， 能 够 适 配 大 部 分 主流 的 云 服 务 
提供 商 (包括 AWS、 谷 歌 的 Google Compute Enginer、 微 软 Azure、Digital Ocean) 以 及 
VMWare 和 VirtualBox。 





注意 beta 软件 

撰写 这 部 分 的 时 候 ，Docker Machine 尚 处 于 beta 阶段 (我 测试 的 版 本 是 
0.4.1)。 这 意味 着 你 很 可 能 会 遇 到 错误 和 缺少 功能 ， 但 它 应 该 仍然 可 以 使 
用 ， 而 且 还 比较 稳定 。 不 过 ， 这 也 意味 着 你 看 到 的 命令 和 语法 相 比 于 这 里 
可 能 会 略 有 改变 。 出 于 这 个 原因 ， 我 不 建议 在 生产 环境 中 正式 使 用 Docker 
Machine， 话 虽 如 此 ， 它 在 测试 和 实验 中 还 是 非常 有 帮助 的 。 

(是 的 ， 这 个 警告 几乎 对 本 书 的 所 有 部 分 都 适用 ， 我 只 是 觉得 是 时 候 再 次 把 
它 指出 而 已 ……: ) 









































现在 来 看 如 何 使 用 Docker Machine 将 identidock 在 云端 运行 起 来 。 首 先 ， 你 需要 在 本 地 
机 器 上 安装 Docker Machine。 如 果 你 是 通过 Docker 工具 箱 安装 Docker 的 话 ， 那 就 已 经 有 
Docker Machine 了 。 如 果 不 是 ， 还 可 以 从 GitHub 下 载 二 进 制 档 (https://github.com/docker/ 
machine/releases) ， 然 后 把 它 放 在 执行 路 径 中 (例如 /usr/local/bin/docker-machine)。 完 成 这 
些 步骤 后 ， 就 可 以 开始 执行 命令 了 : 

$ docker-machine 1s 


NAME ACTIVE DRIVER STATE URL SWARM 
default virtualbox Running tcp://192.168.99.100:2376 











执行 上 述 代码 后 不 一 定 会 得 到 任何 输出 ， 这 依 Docker Machine 侦 测 到 的 主机 而 定 。 就 本 
例 而 言 ， 它 找到 了 本 地 的 boot2docker 虚拟 机 。 下 一 步 要 做 的 是 在 云端 添加 一 台 主 机 。 我 





将 以 Digital Ocean 作为 示范 ， 不 过 AWS 和 其 他 云 服务 提供 商 也 是 大 同 小 异 。 你 需要 在 网 
上 注册 并 生成 个 人 的 访问 令 牌 访问 (“Applications & API” 页 面 ，https://cloud.digitalocean. 
com/settings/applications) 才能 继续 。 它 将 会 对 你 所 使 用 的 资源 收取 费用 ， 因 此 当 你 使 用 完 
毕 时 ,一 定 要 把 机 器 删除 : 


$ docker-machine create --driver digitalocean \ 
--digitalocean-access-token 4820... \ 
identihost-do 
Creating SSH key... 
Creating Digital Ocean droplet... 
To see how to connect Docker to this machine, run: docker-machine env identi... 


现在 我 们 已 经 在 Digital Ocean 上 创建 了 一 个 Docker 主机 。 接 下 来 要 做 的 就 是 按照 输出 中 
给 出 的 命令 ， 让 本 地 的 客户 端 指向 它 : 


$ docker-machine env identihost-do 
export DOCKER_TLS_VERIFY="1" 
export DOCKER_HOST="tcp://104.236.32.178:2376" 
export DOCKER_CERT_PATH="/Users/amouat/.docker/machine/machines/identihost-do" 
export DOCKER_MACHINE_NAME="identihost-do" 
# Run this command to configure your shell: 
# eval "$(docker-machine env identihost-do)" 

$ eval "$(docker-machine env identihost-do)" 

$ docker info 
Containers: 0 

Images: 0 

Storage Driver: aufs 

Root Dir: /var/lib/docker/aufs 

Backing Filesystem: extfs 

Dirs: 0 

Dirperm1 Supported: false 

Execution Driver: native-0.2 

Logging Driver: json-file 

Kernel Version: 3.13.0-57-generic 

Operating System: Ubuntu 14.04.3 LTS 

CPUs: 1 

Total Memory: 490 MiB 

Name: identihost-do 

ID: PLDY:REFM:PU5B:PRJK:L4QD:TRKO:RNL6:5T6N:AVA3:2FXF:ESRC:6DCT 
Username: amouat 

Registry: https://index.docker.io/v1/ 

WARNING: No swap limit support 

Labels: 

provider=digitalocean 


可 以 看 到 ， 我 们 已 连接 到 运行 在 Digital Ocean 上 的 一 台 Ubuntu 主机 。 如 果 现 在 执行 
docker run heLLo-worLd， 它 就 会 在 云端 的 服务 器 上 执行 。 


要 运行 identidock 应 用 ， 可 以 使 用 第 6 章 完结 前 的 docker-compose.yml， 或 者 使 用 以 下 的 
docker-compose.yml， 这 个 文件 使 用 的 镜像 是 Docker Hub 上 的 identidock: 




















identidock: 
image: amouat/identidock:1.0 





ports : 
- "5000:5000" 
- "9000:9000" 
environment: 
ENV: DEV 
Links : 
- dnmonster 
- redis 
dnmonster: 
image: amouat/dnmonster:1.0 
redis: 
image: redis:3 


注意 ， 如 果 Compose 文件 包含 build 指令 ， 镜 像 构 建 便 会 在 云端 的 服务 器 上 发 生 。 任 何 数 
据 卷 挂 载 的 指令 都 必须 移 除 ， 因 为 它们 指向 的 将 会 是 云端 服务 器 的 磁盘 ， 而 不 是 本 地 计算 
机 上 的 。 

跟 往常 一 样 执行 Compose: 


$ docker-compose up -d ©O 























Creating identidock identidock_1... 
$ curl $(docker-machine ip identihost-do):5000 加 
<html><head><title>Hello... 


@ 这 将 需要 一 段 时 间 ， 因 为 它 需 要 先 下 载 并 构建 所 需 的 镜像 。 
@ 可 以 利用 docker-machine ip 命令 来 查找 我 们 的 Docker 主机 运行 的 位 置 。 
所 以 ， 现 在 identidock 已 经 在 云端 运行 起 来 了 ， 任 何人 都 能 够 访问 。' 这 太 棒 了 ， 我 们 这 么 
快 就 能 够 把 它 运 行 起 来 ， 但 还 有 一 些 问 题 有 竺 修正。 我们 注意 到 ， 应 用 程序 正在 使 用 开发 
用 的 Python Web 服务 器 ， 端 口 为 5000。 我 们 应 该 改 用 生产 环境 的 服务 器 ， 但 如 果 在 应 用 
前 把 反 向 代理 或 负载 均衡 用 上 就 更 好 了 ， 这 样 便 能 够 对 identidock 的 架构 进行 更 改 ， 而 无 
需 改变 对 外 的 PP 地址 。Nginx 支持 负载 均衡 ， 因 此 通过 nginx 就 很 容易 启动 多 个 identidock 
实例 ， 然 后 将 流量 平均 分 配 到 各 实例 。 
对 identidock 进行 冒 烟 测试 
本 书 中 通过 curl 命令 来 确保 identidock 服务 正常 运作 。 然 而 ， 仅 仅 获取 首 
页 并 不 是 个 很 好 的 测试 ， 这 样 做 只 能 证 明 identidock 容器 已 经 运行 起 来 而 
已 。 更 好 的 测试 应 该 是 获取 一 个 identicon 图 像 ， 这 样 就 能 证 明 identidock 和 
dnmonster 两 个 容器 都 在 工作 中 并 能 互相 沟通 。 你 可 以 用 以 下 方法 达成 : 


$ curl localhost:5000/monster/gordon | head -c 4 










































































®PNG 
我 们 使 用 了 Unix 的 head 命令 来 获取 图 像 的 前 四 个 字符 ， 从 而 避免 把 二 进 制 
数据 打印 到 终端 上 。 





注 1: 一 些 服 务 供应 商 需 要 你 先 在 防火 墙 把 5000 端口 打开 ， 如 AWS。 











9.2 ”使 用 代理 

















让 我 们 利用 nginx 在 identidock 服务 的 前 面 创 建 一 个 反 向 代理 。 现 在 创建 一 个 名 为 














identiproxy 的 新 文件 夹 ， 并 创建 以 下 的 Dockerfile: 
FROM nginx:1.7 
COPY default.conf /etc/nginx/conf.d/default.conf 
同时 用 以 下 内 容 创建 一 个 default.conf 文件 : 
server { 


listen 80; 
server_name 45.55.251.164; ©@ 





Location / { 


proxy_pass http://identidock:9090; @ 

proxy_next_Upstream error timeout invalid_ header http_500 http_502 
http_503 http_504; 

proxy_redirect off; 

proxy_buffering off; 


proxy_set_header Host 45.55.251.164; @ 

proxy_set_header X-Real-IP $remote_addr; 

proxy_set_header X-Forwarded-For S$proxy_add x_forwarded_for; 
} 


} 


@ 把 这 里 的 卫 地址 禁 换 成 你 的 Docker 主机 的 卫 地 址 或 它 的 域名 。 
@ 重 定向 所 有 网 络 流量 到 identidock 容器 。 我 们 将 使 用 连接 来 实现 它 。 











如 有 果 你 的 Docker Machine 还 在 运行 并 连接 至 云端 的 服务 器 ， 现 在 就 可 以 在 云端 的 服务 





建 镜 像 


$ docker build --no-cache -t identiproxy:0.1 . 

Sending build context to Docker daemon 3.072 kB 

Sending build context to Docker daemon 

Step 0 : FROM nginx:1.7 
---> 637d3b2f5fb5 

Step 1 : COPY default.conf /etc/nginx/conf.d/default.conf 
---> 2e82d9a1f506 

Removing intermediate container 5383f47e3d1e 

Successfully built 2e82d9a1f506 


器 构 


我 们 很 容易 就 会 忘记 正在 连接 到 一 个 远程 的 Docker 引擎 ， 但 现在 镜像 已 经 在 远程 的 服务 








器 上 了 ， 而 不 是 在 你 的 本 地 开发 机 器 上 。 

















用 以 下 内 容 创 建 一 个 prod.yml 文件 : 


proxy: 
image: identiproxy:0.1 ©@ 
Links : 


现在 ， 我 们 可 以 返回 到 identidock 文件 夹 ， 并 创建 一 个 新 的 Compose 配置 文件 来 测试 它 。 





- identidock 
ports: 
- "80:80" 
identidock: 
image: amouat/identidock:1.0 
Links : 
- dnmonster 
- redis 
environment: 
ENV: PROD © 
dnmonster: 
image:amouat/dnmonster:1.0 © 
redis: 
image: redis:3 © 


@ 请 注意 ， 我 对 所 有 镜像 都 使 用 了 标签 。 在 生产 环境 中 ， 你 要 注意 你 运行 的 容器 是 什 
本 。 使 用 Latest 标签 的 做 法 很 不 受 ， 因 为 这 样 你 将 很 难 或 甚至 无 法 分 辨 容器 中 运行 的 
应 用 是 哪个 版 本 。 
@ 注意 ， 我 们 不 再 需要 声明 identidock (代理 容器 才 需 要 这 样 做 )， 
因此 把 环境 变量 改 成 启动 生产 环境 的 Web 服务 


NY 











在 Compose 中 使 用 extends 指令 


如 果 YAML 文件 变 得 完 长 ， 可 以 使 用 extends 关键 字 在 不 同 的 环境 之 间 共 享 配 置信 
息 。 例 如 ， 我 们 可 以 定义 一 个 文件 叫 作 common.yml， 它 包含 以 下 内 容 : 


identidock: 

image: amouat/identidock:1.0 

environment: 

ENV: DEV 

dnmonster: 

image: amouat/dnmonster:1.0 
redis: 

image: redis:3 


然后 可 以 把 prod.yml 重 写 如 下 : 


proxy: 
image: identiproxy:0.1 
Links : 
- identidock 
ports: 
- "80:80" 
identidock: 
extends: 
file: common.yml 
service: identidock 
environment: 
ENV: PROD 
dnmonster: 
extends: 
file: common.yml 











redis: 


宛 长 ， 虽然 自 
的 主要 原因 只 





service: dnmonster 


extends: 
file: 
service: redis 


common .yml 


extends 关键 字 会 从 公用 的 文件 中 把 相应 的 配置 拉 进 来 。prod.yml 中 的 配置 将 履 盖 
common.yml 中 的 配置 。Links 和 volumes-fronm 的 值 是 不 会 被 继承 的 ， 以 免 意外 的 状况 
发 生 。 出 于 这 个 原因 ， 在 我 们 的 示例 中 ,使 用 extends 实际 上 会 导致 prod.yml 文件 更 


动 继承 基础 文件 改动 的 这 个 优点 还 是 存在 的 。 本 书 中 避免 使 用 extends 
不 过 是 希望 保持 范例 独立 。 








停止 旧版 本 并 启动 新 版 本 : 


$ docker-compose stop 

Stopping identidock identidock 1... done 
Stopping identidock_redis 1... done 
Stopping identidock_dnmonster_1... done 
Starting identidock_dnmonster_1... 
Starting identidock_redis 1... 


Recreating 


identidock identidock 1... 


Creating identidock_proxy_1... 


现在 来 测试 一 下 ， 它 现在 应 该 能 够 在 默认 的 80 端口 响应 ， 而 不 是 9090 端口 : 


$ curl $(docker-machine ip identihost-do) 
<html><head><title>Hello... 


非常 好 ! 现在 我 们 的 容器 已 经 位 于 代理 的 后 面 了 ， 这 使 得 我 们 可 以 做 很 多 事情 ， 诸 如 对 一 


组 identidock 实 





列 实行 负载 均衡 ， 或 将 identidock 迁移 到 新 的 主机 而 不 需要 更 改 访问 的 人 P 














地 址 (只 要 代理 仍旧 在 原来 的 主机 上 ， 并 把 它 的 配置 更 新 一 下 )。 此 外 ， 安 全 性 也 得 到 增 











强 ， 因 为 应 用 程 





不 过 我 们 还 可 以 





序 容器 只 可 以 通过 代理 来 访问 ， 并 且 再 没有 任何 端口 暴露 于 互联 网 上 。 
做 得 更 好 。 主 机 的 PP 地 址 和 容器 名 称 被 固定 在 代理 的 镜像 当中 ， 这 是 很 烦 






























































人 的 ;如 果 我 们 打算 不 再 使 用 “identidock” 这 个 名 称 而 改 用 别 的 ， 或 者 希望 把 identiproxy 
给 别 的 服务 使 用 ， 那 么 便 需要 重新 构建 镜像 ， 或 者 通过 数据 卷 的 方式 把 配置 重 写 。 我 们 希 
望 让 这 些 参 数 通 过 环境 变量 来 配置 。 我 们 无 法 直接 在 nginx 中 使 用 环境 变量 ， 但 可 以 写 一 


个 脚本 ， 通 过 它 来 动态 生成 配置 文件 ， 然 后 启动 nginx。 我 们 需要 回 到 identiproxy 文件 
































夹 ， 把 其 中 的 default.conf 里 已 硬 编码 的 变量 换 成 占 位 符 : 





server { 
listen 


server_ 








80; 
name {{NGINX_HOST}}; 


location / { 


proxy_pass {{NGINX_PROXY}}; 
proxy_next_upstream error timeout invalid header http_500 http_502 


http_503 http_504; 


proxy_redirect off; 
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proxy_buffering off; 


proxy_set_header Host {{NGINX_HOST}}; 
proxy_set_header X-Real-IP Sremote_addr; 
proxy_set_header X-Forwarded-For S$proxy_add_x_forwarded_for; 


} 
我 们 还 需要 创建 以 下 的 entrypoint.sh 文件 ， 它 将 执行 变量 的 更 换 : 
#!/bin/bash 


set -e 


sed -i "s|{{NGINX_HOST}}|$SNGINX_HOST|;s|{{NGINX_PROXY}}|$SNGINX_PROXY|" \ 
/etc/nginx/conf.d/default.conf ©@ 

cat /etc/nginx/conf.d/default.conf 四 

exec "$s@" © 


@ 使 用 sed 命令 来 执行 更 换 的 动作 。 虽 然 这 样 做 不 太 漂 亮 ， 但 对 于 达到 我 们 的 目的 已 经 足 
够 了 。 注 意 我 们 使 用 了 | 符号 而 不 是 /， 这 样 做 是 为 了 避免 与 URL 中 的 斜 杠 混淆 。 

@ 把 已 殖 换 完成 的 模板 打印 到 日 志 中 ， 为 了 方便 调试 。 

全 执行 任何 传 入 的 CMD 命令 。Nginx 容器 默认 定义 了 一 个 CMD 指令， 使 nginx 在 前 台 运 行 ， 
但 我 们 仍然 可 以 在 运行 时 定义 一 个 不 同 的 MD 指令， 有 需要 时 可 以 用 来 执行 其 他 命令 或 
启动 一 个 shell。 


现在 只 需要 更 新 我 们 的 Dockerfile， 把 这 个 新 脚本 用 上 : 


FROM nginx:1.7 














COPY default.conf /etc/nginx/conf.d/default.conf 
COPY entrypoint.sh /entrypoint.sh 


ENTRYPOINT ["/entrypoint.sh"] 
CMD ["nginx", "-g", "daenmon off;"] © 
@ 这 个 命令 将 会 启动 我 们 的 代理 ， 并 在 docker run 没有 指定 任何 命令 的 时 候 ， 作 为 参数 
传 给 我 们 的 entrypoint.sh 脚本 。 
把 脚本 设置 成 可 执行 文件 ， 然 后 重建 镜像 。 这 一 次 ， 我 们 只 称呼 它 proxy， 因 为 我 们 已 经 
把 有 关 identidock 的 信息 爹 部 剥离 开 来 : 


$ chmod +x entrypoint.sh 
$ docker build -t proxy:1.0 . 











要 使 用 我 们 的 新 镜像 ， 首 先 回 到 identidock 文件 来， 然后 更 新 prod.yml， 使 它 能 用 上 新 镜像 : 


proxy: 
image: proxy:1.0 
Links : 
- identidock 
ports: 
- "80:80" 
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environment: 
- NGINX_HOST=45.55.251.164 ©@ 
- NGINX_PROXY=http://identidock:9090 
identidock: 
image: amouat/identidock:1.0 
links: 
- dnmonster 
- redis 
environment: 
ENV: PROD 
dnmonster: 
image: amouat/dnmonster:1.0 
redis: 
image: redis:3 


@ 将 此 变量 设置 为 你 的 主机 IP 地 址 或 名 称 。 


因此 ， 如 果 现 在 把 旧版 本 停 掉 ， 并 重新 启动 应 用 程序 ， 那 么 使 用 的 将 会 是 新 的 通用 镜像 。 
对 于 我 们 这 个 简单 的 Web 应用， 这些 已 经 足够 了 ， 但 由 于 我 们 使 用 了 Docker 连接 ， 目 前 
只 能 实现 单一 主机 的 配置 。 要 是 不 采用 更 高 级 的 网 络 连接 和 服务 发 现 功能 ， 我 们 将 无 法 迁 
移 到 多 主机 架构 (这 对 于 容错 和 扩展 是 必须 的 )， 第 11 章 和 第 12 章 将 介绍 如 何 使 用 这 些 








功能 。 
当 应 用 程序 使 用 完毕 ， 可 以 这 样 把 它 停止 : 


$ docker-compose -f prod.ynml stop 





$ docker-compose -f prod.ymtL rm 


当 你 准备 把 云 资源 关 掉 时 ， 只 需 这 样 做 : 


$ docker-machine stop identihost-do 
$ docker-machine rm identihost-do 








这 时 你 应 该 到 云 服 务 提 供 商 的 网 页 界面 上 确认 资源 已 被 正确 释放 。 
接 下 来 看 一 些 Compose 的 可 替代 方案 。 
设置 COMPOSE_FILE 变量 


与 其 每 次 执行 Compose 的 时 候 都 指定 -f prod.yml 参数 ， 不 如 通过 设置 
COMPOSE_FILE 环境 变量 达到 同样 目的 。 例 如 : 


$ export COMPOSE_FILE=prod.yml 
$ docker-compose up -d 












































它 将 会 使 用 prod.yml 文件 ， 而 不 是 默认 的 docker-compose.yml。 








强大 的 配置 文件 生成 工具 


将 应 用 程序 转化 成 Docker 容器 时 ， 使 用 模板 来 生成 配置 文件 是 个 很 常用 的 手段 ， 尤 其 
是 当 程 序 本 身 并 不 支持 环境 变量 时 。 当 你 的 程序 已 经 不 像 这 里 的 范例 那么 简单 的 时 候 ， 
为 了 避免 由 于 正则 表达 式 冲突 而 引起 的 奇怪 错误 ， 你 需要 认真 考虑 使 用 一 个 合适 的 模 
板 处 理 器 ， 例 如 Jinja2 或 Go 模板 。 


由 于 这 个 问题 很 普遍 ，Jason Wilder 开发 了 一 个 工具 ， 名 叫 dockerize (https://github. 
com/jwilder/dockerize) ， 目 的 是 把 这 个 过 程 自动 化 。Dockerize 通过 一 个 模板 文件 以 及 
环境 变量 来 生成 配置 文件 ， 然 后 调用 原来 的 应 用 。 这 样 做 的 话 就 可 以 用 dockerize 把 
CMD 或 ENTRYPOINT 指令 中 的 启动 脚本 封装 起 来 。 


然而 ，Jason 并 不 满足 于 此 ， 他 开发 出 了 docker-gen (https://github.com/jwilder/docker- 
gen) 。docker-gen 可 以 利用 容器 的 元 数据 (例如 IP 地 址 ) 和 环境 变量 的 值 。 它 还 可 以 
保持 在 运行 状态 ， 随 时 响应 Docker 事件 ， 例 如 ， 当 有 新 容器 被 创建 时 ， 便 会 按 当 时 的 

请 况 更 新 配置 文件 。 一 个 很 好 的 例子 就 是 他 的 nginx-proxy 容器 ， 它 会 以 VIRTUAL_HOST 
环境 变量 自动 添加 容器 到 负载 均衡 的 组 里 。 











9.3 执行 选项 


既然 已 经 有 了 一 个 可 以 用 于 生产 环境 的 系统 ,“ 那 又 该 如 何在 服务 器 上 启动 它 呢 ? “目前 为 
止 ， 我 们 已 经 看 过 Compose 和 Machine 这 两 个 项 目 ， 但 它们 都 比较 新 ， 而 且 正 在 快速 开发 
中 ， 因此 如 果 在 生产 环境 中 使 用 它们 的 话 ， 就 必须 非常 谨慎 ， 除非 是 小 的 副 项 目 (在 写 这 
部 分 的 时 候 ，Docker 网 站 上 都 有 相关 区 告 )。 这 两 个 项 目 成 熟 得 很 快 ， 用 于 生产 环境 的 功 
能 正在 迅速 开发 。 如 果 想 了 解 它 们 的 发 展 方向 ， 可 以 在 GitHub 仓库 中 找到 它们 的 路 线 图 ， 
这 对 了 解 它们 何 时 适合 用 于 生产 环境 非常 有 用 。 
如 此 说 来 ， 如 果 Compose 不 适合 ， 那 又 该 用 什么 呢 ? 让 我 们 来 看 看 其 他 的 可 能 性 。 以 下 所 
有 代码 假设 镜像 都 已 经 在 Docker Hub 上 ， 而 不 是 在 服务 器 上 创建 的 。 如 有 果 你 想 跟着 一 起 
做 ， 要 么 把 你 自己 的 镜像 推送 到 寄存 服务 ， 要 么 使 用 我 在 Docker Hub 上 的 镜像 (amouat/ 


identidock:1.0、amouat/dnmonster:1.0 和 amouat/proxy:1.0)。 





















































9.3.1 _ shell 脚本 


不 用 0 就 能 启动 容器 的 最 简单 方法 便 是 shell 脚本 ， 我 们 只 需 编写 一 个 简短 的 shell 
脚本 ， 它 会 执行 Docker 命令 来 启动 容器 。 这 样 做 足以 应 付 大 多 数 简 单 的 用 例 ， 如 果 加 上 
一 些 监控 的 命令 ， 还 可 以 确保 当 有 问题 发 生 并 需要 处 理 时 ， 你 能 察觉 得 到 。 但 长 远 来 看 ， 
这 个 做 法 远 非 完美 ， 随 着 时 间 发 展 ， 这 个 脚本 会 被 不 断 加 入 其 他 功能 ， 使 得 你 将 来 很 有 可 








注 2: 其 实 ， 现 在 还 不 太 适 合用 于 生产 环境 。 在 公开 你 的 应 用 给 所 有 人 访问 之 前 ， 认 真 思 考 如 何 保证 它 的 安 
全 性 是 非常 重要 的 。 第 13 章 会 有 更 详细 的 介绍 。 
注 3: 别 忘 了 ， 你 还 要 想 想 如 何 处 理 监 控 和 日 志 的 记录 。 请 看 第 10 章 。 


























能 不 得 不 维护 一 个 变 得 杂乱 无 章 的 脚本 。 

我 们 可 以 在 执行 docker run 时 使 用 - -restart 参数 来 确保 不 正常 退出 的 容器 能 够 自动 重新 
启动 。 该 参数 指定 容器 重新 启动 的 策略 ， 它 可 以 是 no、on-failure 或 always。 上 默认 值 是 
no， 表 示 容 器 永远 不 会 自动 重启 。on-failure 策略 只 会 在 容器 的 退出 值 为 非 0 的 时 候 尝 试 
重启 ， 还 可 以 指定 重 试 的 最 大 次 数 (例如 docker run --restart on-failure:5 将 尝试 重启 
容器 最 多 5 次 ， 之 后 便 会 放弃 )。 

下 面 的 脚本 (名 为 deploy.sh) 会 启动 并 运行 我 们 的 identidock 服务 : 


#1!/bin/bash 
set -e 



































echo "Starting identidock system" 


docker run -d --restart=always --name redis redis:3 
docker run -d --restart=always --name dnmonster amouat/dnmonster:1.0 
docker run -d --restart=always \ 

--link dnmonster:dnmonster \ 

--link redis:redis \ 

-e ENV=PROD \ 

--name identidock amouat/identidock:1.0 
docker run -d --restart=always \ 

--name proxy \ 

--Link identidock:identidock \ 

-p 80:80 \ 

-e NGINX_HOST=45.55.251.164 \ 

-e NGINX_PROXY=http://identidock:9090 \ 

amouat/proxy:1.0 


echo "Started" 


注意 ， 我 们 其 实 只 是 把 docker-compose.yml 文 件 转 换 成 同样 功能 的 shell 命令 。 但 与 
Compose 不 同 ， 它 并 没有 在 失败 后 清理 环境 的 逻辑 操作 ， 也 没有 检查 是 否 已 经 有 容器 正在 
运行 。 

在 Digital Ocean 的 情况 下 ， 我 现在 可 以 使 用 以 下 的 ssh 和 scp 命令 ， 通 过 shell 脚本 来 启动 
identidock: 

















$ docker-machine scp deploy.sh identihost-do:~/deploy.sh 
deploy.sh 100% 575 0.6KB/s 00:00 
$ docker-machine ssh identihost-do 


$ chmod +x deploy.sh 

$ ./deploy.sh 

Starting identidock system 
3b390441b16eaece94df7ege07d1edcb4c11ce7232108849d691d153330c6dfb 
57459e4c0c2a75d2fbcef978aca9344d445693d2ad6d9efe70fe87bf5721a8f4 
5da04a34302b400ec08e9a1d59c3baeec14e3e65473533c165203c189ad58364 
d1839d8de1952fca5c41e0825ebb27384f35114574c20dd57f8ce718ed67e3f5 
Started 


其 实 也 可 以 直接 在 shell 中 运行 这 些 命令 。 选 择 使 用 脚本 主要 是 出 于 方便 注释 和 移植 的 孝 








虑 ， 如 果 我 想 在 一 台新 主机 上 启动 identidock， 很 容易 就 能 找 出 用 于 启动 相同 版 本 应 用 的 
指令 。 
当 需 要 更 新 镜像 或 对 其 进行 更 改 时 ， 可 以 利用 Machine 把 本 地 的 客户 端 连 接 到 远程 的 
Docker 服务 器 ， 或 者 直接 登入 远程 的 服务 器 并 使 用 它 上 面 的 客户 端 。 如 要 做 到 零 停机 更 新 
容器 ， 你 需要 在 容器 前 安装 一 个 负载 均衡 器 或 反 向 代理 ， 然 后 执行 如 下 动作 。 


(1) 使 用 已 更 新 的 镜像 启动 一 个 新 的 容器 (最 好 避免 直接 更 新 镜像 )。 
(2) 把 负载 均衡 器 指向 新 镜像 ， 可 以 是 部 分 流量 或 全 部 流量 。 
(3) 测试 新 容器 并 确保 它 工作 正常 。 

(4) 把 旧 容 器 关 掉 。 

另外 ， 请 参阅 8.6 节 下 的 辅助 栏 “在 生产 环境 中 测试 ， 其 中 有 几 种 如 何在 不 影响 服务 的 情 
况 下 部 署 更 新 的 技巧 。 

重启 时 连接 中 断 

旧版 本 的 Docker 曾经 有 容器 重启 时 连接 中 断 的 问题 。 如 果 遇 到 类 似 问题 ， 

请 确保 运行 的 Docker 是 最 新 版 本 。 本 书写 作 之 际 ， 我 的 Docker 版 本 是 1.8， 

它 并 没有 这 个 问题 ， 当 容器 的 也 地 址 有 任何 改变 的 时 候 ， 它 都 会 自动 传达 
到 已 被 连接 的 容器 。 另 外 请 注意 ， 在 被 连接 的 容器 上 ， 只 有 /etc/hosts 将 会 被 
更 新 ， 而 环境 变量 并 不 会 。 

































































下 面 几 节 将 会 介绍 ， 如 何 利 用 一 些 你 应 该 已 经 熟悉 的 技术 来 控制 容器 的 启动 和 部 署 。 第 
12 章 将 会 介绍 一 些 专门 设计 给 Docker 的 新 工具 ， 以 及 怎样 通过 它们 来 解决 这 个 问题 。 


9.3.2 ”使 用 进程 管理 器 (或 用 systemd 控 制 所 有 进程 ) 


除了 依赖 于 shell 脚本 和 Docker 的 重启 功能 ， 还 可 以 使 用 进程 管理 器 或 init 系统 (如 
systemd 或 upstart) 来 启动 你 的 容器 。 如 果 你 的 主机 有 一 些 服务 不 是 在 容器 中 运行 ， 而 是 
依赖 于 一 个 或 多 个 容器 的 话 ， 那 么 这 样 做 就 特别 有 用 。 如 果 你 想 这 样 做 ， 有 一 些 问 题 你 必 
须 注 意 。 


。 必须 确保 未 使 用 Docker 的 自动 重 局 容器 功能 ， 即 执行 docker run 命令 时 不 能 使 用 
--restart=always 参数 。 

。 通常 情况 下 ， 你 的 进程 管理 器 将 监控 docker client 客户 端 进程 ， 而 不 是 容器 内 的 进程 。 
这 样 做 大 部 分 时 间 都 不 会 有 问题 ， 但 如 果 网 络 连接 中 断 或 其 他 事情 出 错 ，Docker 客户 
端 就 会 退出 ， 但 容器 却 仍 在 运行 ， 这 就 可 能 导致 问题 发 生 。 相 反 ， 如 果 进 程 管 理 器 监视 
的 是 容器 内 的 主 进程 , 那么 就 会 好 很 多 。 这 个 情况 在 未 来 可 能 会 有 所 改变 , 但 在 那 之 前 ， 
你 应 该 关注 systemd-docker 这 个 项 目 (https://github.com/ibuildthecloud/systemd-docker)， 
它 通 过 控制 容器 的 cgroup 来 绕 过 这 个 问题 。[ 有 关 该 问题 的 更 多 信息 ， 参 见 GitHub 上 
的 这 一 问题 (https://github.com/docker/docker/issues/6791)。] 


为 了 演示 如 何 通过 systemd 来 管理 容器 ， 下 面 的 服务 文件 可 以 用 于 已 采用 systemd 的 主机 
上 ， 用 来 启动 我 们 的 identidock 服务 。 在 这 个 例子 中 ， 我 使 用 了 CentOS 7， 但 其 他 基于 















































systemd 的 发 行 版 的 做 法 也 大 同 小 异 。 我 并 没有 包括 upstart 的 例子 ， 因 为 似乎 所 有 主流 的 
发 行 版 都 正在 往 systemd 迁移 。 所 有 文件 都 应 放 在 /etc/systemd/system/ 之 下 。 


先 来 看 看 Redis 容器 的 服务 文件 identidock.redis.service， 它 并 不 依赖 于 任何 其 他 的 容器 : 


[Unit] 

Description=Redis Container for Identidock 
After=docker.service 

Requires=docker .service @ 























[Service] 

TimeoutStartSec=0 @ 

Restart=aLways 

ExecStartpPre=-/usr/bin/docker stop redis © 
ExecStartPre=-/usr/bin/docker rm redis 
ExecStartPre=/usr/bin/docker pull redis @ 
ExecStart=/usr/bin/docker run --rm --name redis redis 


[InstalLL] 
WantedBy=multi-user.target 


@ 必须 确保 启动 容器 之 前 Docker 已 经 运行 。 
名 由 于 Docker 的 命令 可 能 需要 一 些 时 间 来 运行 ， 把 超时 设 定 关闭 将 最 省 事 。 
@ 在 启动 容器 之 前 ， 先 把 名 字 相 同 的 旧 容 器 移 除 ， 这 意味 着 在 重启 的 时 候 ，Redis 的 缓存 
将 会 被 彻底 破坏 。 但 在 identidock 的 情况 下 ， 这 不 是 个 问题 。 在 命令 前 加 上 - 号 的 意思 
是 告诉 systemd， 即 使 命令 返回 一 个 非 零 的 代码 也 不 应 该 中 止 。 
@ 进行 pull 的 动作 ， 确 保 运 行 的 是 最 新 版 本 。 
identidock 的 服务 identidock.identidock.service 与 之 前 的 服务 类 似 ， 区 别 是 它 需 要 依赖 其 
他 服务 : 
[Unit] 
Description=identidock Container for Identidock 
After=docker .service 
Requires=docker .service 
After=identidock.redis.service @ 
Requires=identidock.redis.service 


After=identidock.dnmonster .service 
Requires=identidock.dnmonster .service 


| 























[Service] 
TimeoutStartSec=0 
Restart=always 
ExecStartPre=-/usr/bin/docker stop identidock 
ExecStartPre=-/usr/bin/docker rm identidock 
ExecStartPre=/usr/bin/docker pull amouat/identidock 
ExecStart=/usr/bin/docker run --name identidock \ 
--link dnmonster:dnmonster \ 
--link redis:redis \ 
-e ENV=PROD \ 
amouat/identidock 


[InstalLL] 
WantedBy=muLti-user.target 








@@ 除 了 Docker， 还 需要 声明 identidock 所 依赖 的 其 他 容器 ， 具 体 来 说 是 Redis 和 
dnmonster 容器 。 需 要 同时 使 用 After 和 Requtres， 以 避免 竟 态 条 件 发 生 。 


代理 服务 ( 称 为 identidock.proxy.service) 内 容 如 下 : 


[Unit] 

Description=Proxy Container for Identidock 
After=docker.service 

Requires=docker .service 
Requires=identidock.identidock.service 





[Service] 
TimeoutStartSec=0 
Restart=always 
ExecStartPre=-/usr/bin/docker stop proxy 
ExecStartPpre=-/usr/bin/docker rm proxy 
ExecStartPre=/usr/bin/docker pull amouat/proxy 
ExecStart=/usr/bin/docker run --name proxy \ 
--link identidock:identidock \ 
-p 80:80 \ 
-e NGINX_HOST=0.0.0.0 \ 
-e NGINX_PROXY=http://identidock:9090 \ 
amouat/proxy 


[Install] 
WantedBy=multi-user.target 


最 后 是 dnmonster 服务 ( 称 为 identidock.dnmonster.service)， 内 容 如 下 : 


[Unit] 

Description=dnmonster Container for Identidock 
After=docker.service 

Requires=docker .service 


[Service] 

TimeoutStartSec=0 

Restart=always 

ExecStartPre=-/usr/bin/docker stop dnmonster 
ExecStartPre=-/usr/bin/docker rm dnmonster 
ExecStartPre=/usr/bin/docker pull amouat/dnmonster 
ExecStart=/usr/bin/docker run --name dnmonster amouat/dnmonster 


[Install] 
WantedBy=multi-user.target 





现在 可 以 通过 systemctl start identidock.* 命令 来 启动 identidock 了 。 这 个 方法 和 Docker 
的 重启 功能 之 间 的 主要 差异 在 于 ， 重 启 一 个 已 停止 的 容器 将 使 systemd 触发 一 连 串 的 重启 ，; 
假如 Redis 容器 停止 运行 ，identidock 和 代理 这 两 个 容器 也 将 重新 启动 。 要 是 用 Docker 处 理 
的 话 ， 情 况 就 不 一 样 了 ， 因 为 它 知 道 如 何在 不 需要 重新 启动 容器 的 情况 下 更 新 连接 。 

尽管 存在 前 面 所 提 到 的 问题 ， 但 值得 注意 的 是 ，CoreOS 和 Giant Swarm 的 PaaS 服务 都 使 
用 systemd 来 控制 容器 。 目 前 ， 似 乎 可 以 客观 地 说 ，Docker 和 systemd 之 间 关 系 紧张 并 有 
待 解决 ， 因 为 两 者 都 希望 能 负责 管理 主机 上 服务 的 生命 周期 。 
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9.3.3 ”使 用 配置 管理 工具 


如 果 你 的 机 构 负 责 的 主机 数目 较 多 ， 或许 你 已 经 在 使 用 某 种 形式 的 配置 管理 (configuration 
management，CM) 工具 〈 如 果 你 还 未 使 用 ， 或 许 应 该 考虑 一 下 ) 。 所 有 项 目 都 需要 考虑 如 
何 保证 Docker 主机 上 的 操作 系统 是 最 新 的 ， 尤 其 是 在 安全 补丁 方面 。 然 后 ， 需 要 确保 你 
正在 运行 的 Docker 镜像 也 是 最 新 的 ， 并 且 没 有 把 不 同 版 本 的 软件 混 着 用 。 一 些 CM 解决 
方案 ,诸如 Puppet、Chef、Ansible 和 Salt， 都 旨 在 帮助 管理 这 些 问题 。 


把 CM 工具 应 用 在 容器 中 有 两 大 方法 。 


(1) 可 以 把 容器 当 作 虚 拟 器 看 待 ， 让 CM 软件 管理 和 更 新 容器 内 的 软件 。 
(2) 可 以 让 CM 软件 管理 Docker 主机 上 的 容器 ， 以 确保 容器 运行 的 镜像 版 本 正确 无 误 ， 这 
样 容器 本 身 就 会 被 视 为 可 替换 但 不 可 修改 的 黑 盒 子 。 


第 一 种 方法 是 可 行 的， 但 不 符合 Docker 的 哲学 。 这 样 做 与 Dockerfile 冲突 ， 也 与 Docker 
的 “小 容器 且 只 有 单一 进程 ”的 核心 哲学 背道而驰 。 在 接 下 来 的 内 容 中 ， 我 们 将 重点 关注 
第 二 种 方法 ， 因 为 它 更 贴近 于 Docker 的 理念 和 微服 务 架 构 的 方向 。 

在 这 个 方法 中 ， 容 器 本 身 好 比 虚拟 机 领域 中 的 黄金 镜像 (golden image) ， 它 一 旦 运行 起 来 
就 不 会 被 修改 。 当 你 需要 更 新 它 的 时 候 ， 要 用 一 个 运行 新 镜像 的 容器 把 它 整个 禁 换 ， 而 不 
是 试图 改变 镜像 中 正在 运行 的 东西 。 这 样 做 有 一 个 很 大 的 好 处 ， 那 就 是 只 需 查 看 镜像 的 标 
签 ， 就 能 确切 地 知道 容器 中 运行 的 是 什么 东西 〈 假 设 你 使 用 了 一 套 合理 的 标签 系统 ， 并 且 
标签 不 会 重用 ) 。 

下 面 来 看 一 个 实际 操作 的 例子 。 

Ansible 

在 这 个 例子 中 我 们 将 使 用 Ansible， 因 为 它 很 受 欢迎 ， 又 容易 上 手 ， 而 且 是 开源 的 。 虽 然 如 
此 ， 我 并 不 是 说 它 比 其 他 工具 更 好 或 更 差 ! 

与 许多 其 他 的 配置 管理 解决 方案 不 同 ，Ansible (http://www.ansible.com/) 并 不 需要 在 主机 
上 安装 代理 。 它 主要 依靠 SSH 来 配置 主机 。 

Ansible 有 一 个 Docker 模块 ， 具 有 创建 和 编排 容器 的 功能 。 你 可 以 在 Dockerfiles 中 使 用 
Ansible 来 安装 和 配置 软件 ， 但 现在 只 考虑 使 用 Ansible 通过 我 们 的 identidock 镜像 来 建立 
一 个 虚拟 机 。 由 于 只 是 在 一 台 主 机 上 运行 ，Ansible 的 功能 并 没有 被 充分 利用 ， 但 它 可 以 演 
示 Ansible 和 Docker 的 配合 使 用 能 达到 很 好 的 效果 。 

虽然 也 可 以 安装 Ansible 的 客户 端 ， 我 们 最 好 直接 使 用 Docker Hub 上 的 Ansible 客户 端 镜 
像 。 虽 然 官 方 镜像 还 未 出 来 ， 但 generik/ansible 镜像 对 测试 来 说 足 矣 。 

首先 创建 一 个 hosts 文件 ， 包 含 希望 由 Ansible 来 管理 的 服务 器 列表 。 其 中 还 必须 包括 你 区 
远程 主机 或 虚拟 机 的 卫 地 址 。 


$ cat hosts 
[identidock] 
46.101.162.242 


现在 ， 我 们 需要 创建 一 个 用 于 安装 identidock 的 “playbook”。 以 下 面 的 内 容 创 建 一 个 名 为 
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identidock.yml 的 文 从 





， 如 果 你 想 使 用 自己 的 镜像 ， 可 以 替换 镜像 名 称 : 


- hosts: identidock 
sudo: yes 
tasks : 
- _ name: easy_install 
apt: pkg=python-setuptools 
- _ name: pip 
easy_install: name=pip 
- Name: docker-py 
pip: name=docker-py 
- Name: redis container 
docker: 
name: redis 
image: redis:3 
pull: always 
state: reloaded 
restart_policy: always 
- Name: dnmonster container 
docker: 
name: dnmonster 
image: amouat/dnmonster:1.0 
pull: always 
state: reloaded 
restart_policy: always 
- Name: identidock container 
docker: 
name: identidock 
image: amouat/identidock:1.0 
pull: always 
state: reloaded 
Links: 
- "dnmonster:dnmonster" 
- "redis:redis" 
env: 
ENV: PROD 
restart_policy: always 
- Name: proxy container 
docker: 
name: proxy 
image: amouat/proxy:1.0 
pull: always 
state: reloaded 
Links : 
- "identidock:identidock" 
ports: 
- "80:80" 
env: 
NGINX_HOST: www.identidock.com 
NGINX_PROXY: http://identidock:9090 
restart_policy: always 


大 部 分 的 配置 与 Docker Compose 非常 相似 ， 但 仍 有 儿 点 需要 注意 。 
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为 了 能 够 使 用 Ansible 的 Docker 模块 ， 还 需要 在 主机 上 安装 docker-py。 这 样 就 需要 安 
装 更 多 的 Python 依赖 关系 。 
其 中 的 pull 变量 决定 什么 时 候 检 查 Docker 镜像 的 更 新 。 把 它 设置 为 always 的 话 ， 每 次 
的 和 条 任务 时 便 会 检查 镜像 是 否 有 新 版 本 。 
其 中 的 state 变量 决定 容器 应 处 于 什么 状态 。 把 它 设置 为 reloaded 的 话 ， 每 当 配 置 被 
改动 时 ， 容 器 将 重启 。 


虽然 还 








还 有 很 多 配置 选项 可 用 ， 但 这 个 配置 文件 的 效果 已 经 与 本 章 中 的 其 他 配置 很 接近 了 


接 下 来 要 做 的 就 是 运行 playbook: 


Ox 


$ docker run -it \ 
-v $S{HOME}/.ssh:/root/.ssh:ro \ © 
-v $(pwd)/identidock.yml:/ansible/identidock.ynml \ 
-v $(pwd)/hosts:/etc/ansible/hosts \ 
--rm=true generik/ansible ansible-playbook identidock.yml 


PLAY [identidock] 炎炎 兴 炎 火光 炎炎 炎炎 火光 类 炎炎 火光 类 类 类 炎炎 类 类 火炎 天 类 类 类 炎炎 类 天 大火 类 类 炎炎 大 火炎 天 类 炎炎 类 大 炎炎 火炎 类 类 类 火炎 类 大 大 


GATHERING FACTS 类 火炎 炎炎 火炎 火炎 火炎 炎炎 炎炎 火炎 火炎 类 尖 类 炎炎 炎炎 火炎 类 炎 类 尖 炎炎 炎炎 火炎 炎炎 大 汪汪 炎 汪汪 火炎 火炎 大 类 类 大 汪汪 火炎 火炎 类 大 类 


The authenticity of host '46.101.41.99 (46.101.41.99)' can't be established. 
ECDSA key fingerprint is SHA256:ROLfM7Kf30gRmQmgxINko7SonsGACOVJb27LTotGEds. 
Are you sure you want to continue connecting (yes/no)? yes 

Enter passphrase for key '/root/.ssh/id_rsa': 

ok: [46.101.41.99] 


TASKS [easy_install] 类 淡淡 火 火 火炎 类 尖 炎炎 淡淡 火 火炎 火炎 类 尖 火炎 炎炎 火炎 炎炎 类 注 汪汪 汪汪 火炎 类 类 炎炎 火炎 火炎 类 大 类 类 类 炎炎 火炎 火炎 类 大 大 


changed: [46.101.41.99] 


TASK: [pip] 类 兴 光 光 光 炎炎 类 尖 火 火 尖 炎炎 尖 炎炎 类 天 类 火炎 天 类 类 大 炎炎 类 类 炎炎 天光 类 大 炎炎 类 天光 火炎 炎炎 类 炎炎 类 天 类 炎炎 类 大头 大 大火 类 类 类 类 类 类 大 大 


changed: [46.101.41.99] 


TASK : [docker-py] 炎 光 兴 炎 火光 炎炎 炎炎 火光 炎炎 火炎 天 类 类 类 炎炎 类 类 火炎 类 类 类 类 炎炎 类 天 类 火炎 类 类 类 大火 类 天 类 大火 类 大 尖 大 大火 光大 炎炎 类 类 大 大 


changed: [46.101.41.99] 


TASK : [redis container] 炎炎 光 光 炎炎 天 兴 炎 火炎 火光 炎炎 火炎 类 炎炎 类 类 大 类 火炎 类 天 天 火炎 淡淡 光大 火炎 天 类 炎炎 类 大 尖 类 火炎 天 类 类 类 类 类 大 大 


changed: [46.101.41.99] 


TASK : [dnmonster container] 炎 兴 兴 火 火 兴 尖 炎炎 炎炎 火光 炎炎 火光 火炎 类 炎炎 类 类 大火 类 炎炎 光大 火炎 天 类 炎炎 炎炎 类 大 火炎 天 类 火炎 类 类 大 大 


changed: [46.101.41.99] 


TASK : [identidock container] 火光 兴 光 光 光 火光 尖 炎 淡淡 类 火炎 类 炎炎 天 类 火炎 类 类 类 大 火炎 类 天 炎炎 类 类 大 类 火炎 类 天 类 炎炎 类 大 关 大 大 大 大 


changed: [46.101.41.99] 


TASKS: [proxy container] 类 淡淡 淡 火炎 火炎 大业 类 炎炎 火炎 火炎 类 大 三 炎炎 淡淡 火炎 淡淡 炎 汪汪 炎 类 类 火炎 火炎 类 大 大 淡淡 汪 火炎 火炎 类 大 大 大 大火 火 


changed: [46.101.41.99] 


PLAY RECAP 炎 兴 兴 火 火 兴 兴 光 炎 类 炎炎 类 火炎 火炎 类 类 类 炎炎 类 类 火炎 天 炎炎 类 炎炎 类 大 类 炎炎 炎炎 类 大火 天 天 类 火炎 类 类 类 类 火炎 类 类 炎炎 类 类 大 大 大 火炎 天 类 类 大 


46.101.41.99 : ok=8 changed=7 unreachable=0 failed=0 
$ curl 46.101.41.99 
<html><head><title>Hello... 


个 命令 可 以 让 容器 使 用 SSH 密 钥 对 (SSH key pair) 来 访问 远程 服务 器 。 











执行 它 需 要 一 定 的 时 间 ， 因 为 Ansible 需要 把 镜像 下 载 下 来 。 不 过 一 旦 完成 ， 我 们 的 
identidock 应 用 就 会 运行 起 来 。 

我 们 还 没有 触及 Anisble 真正 强大 的 功能 。 它 还 可 以 做 很 多 事情 ， 尤 其 是 在 定义 更 新 流程 
方面 ， 可 以 进行 深 动 更 新 而 不 会 破坏 依赖 关系 或 导致 停机 时 间 过 长 。 


9.4 主机 配置 


目前 为 止 ， 这 一 章 假 设 容器 是 在 Digital Ocean 提供 的 原生 Docker droplet (Digital Ocean 的 
术语 ， 意 为 预先 配置 的 虚拟 机 ， 而 在 写作 本 书 的 时 候 ， 它 是 基于 Ubuntu 14.04 的 ) 中 运行 
的 。 但 关于 主机 的 操作 系统 和 基础 设施 ， 也 有 许多 不 同 的 选择 ， 各 自 有 不 同 的 利弊 。 特 别 
是 如 果 你 负责 使 用 企业 的 内 部 资源 运行 Docker 的 话 ， 那 就 更 应 该 谨慎 考虑 你 的 选择 。 
尽管 可 以 在 裸 机 上 运行 Docker 主机 〈 无 论 是 在 企业 内 部 还 是 在 云端 ) ， 但 目前 最 实际 的 选 
择 还 是 使 用 虚拟 机 。 大 多 数组 织 都 已 经 拥有 某 种 程度 的 虚拟 机 服务 ， 可 以 用 来 为 容器 部 署 
所 需 主机 ， 并 能 提供 用 户 之 间 的 隔离 性 和 安全 性 的 有 力 保障 。 


9.4.1 选择 操作 系统 


关于 操作 系统 ， 目 前 已 有 多 个 选择 ， 各 自 有 不 同 的 优 缺 点 。 如 果 你 想 运行 一 个 小 型 到 中 型 
的 应 用 程序 ， 你 可 能 会 发 现 最 简单 的 选择 便 是 使 用 你 所 了 解 的 一 一 如 果 你 通常 使 用 Ubuntu 
或 Fedora， 而 你 或 你 的 组 织 对 它 都 很 熟悉 ， 那 就 使 用 它 吧 (但 要 注意 稍 后 讨论 到 的 存储 驱 
动 问题 )。 但 你 要 是 打算 运行 一 个 非常 庞大 的 应 用 程序 或 集群 ( 数 百 个 或 数 千 个 横 跨 多 台 
主机 的 容器 )， 建 议 你 考虑 更 专业 化 的 选择 ， 例 如 CoreOS、Project Atomic 或 RancherOS ， 
以 及 将 在 第 12 章 讨 论 的 编排 方案 。 

如 果 你 是 在 云端 的 主机 上 运行 ， 其 中 大 部 分 都 已 经 有 随时 可 用 的 Docker 镜像 ， 而 且 已 经 
在 它们 的 基础 设施 上 测试 和 验证 过 。 


9.4.2 ”选择 存储 驱动 程序 

目前 已 有 多 个 Docker 支持 的 存储 驱动 程序 ， 将 来 还 会 支持 更 多 的 驱动 。 选 择 合适 的 存储 
驱动 程序 对 于 确保 生产 环境 中 的 可 靠 性 和 效率 至 关 重 要 。 哪 个 驱动 程序 最 适合 ， 取 决 于 你 
的 使 用 场景 和 运 维 经 验 。 目 前 有 下 列 这 些 选 择 。 

AUFS 


Docker 支持 的 第 一 个 存储 驱动 程序 。 迄 今 为 止 ， 它 大 概 是 受过 最 多 考验 和 最 常用 的 驱 
动 程序 。 与 Overlay 驱动 相同 ， 它 的 主要 优势 之 一 就 是 能 够 共享 不 同 容器 之 间 的 内 存 
页 一 一 如 果 两 个 容器 从 相同 的 底层 数据 层 载 和 程序 库 或 数据 ， 那 么 操作 系统 能 够 让 这 两 
个 容器 使 用 相同 的 内 存 页 。AUFS 的 主要 问题 是 它 不 在 主线 内 核 (mainline kernel) 中 ， 
虽然 它 被 Debian 和 Ubuntu 采用 已 有 一 段 时 间 。 此 外 ，AUFS 的 操作 是 在 文件 级 别 ， 因 
此 即使 你 对 一 个 大 文件 只 做 了 一 个 小 小 的 改动 ， 整 个 文件 也 都 会 被 复制 到 容器 的 读 / 写 
层 。 与 此 相反 ，BTRFS 和 Device mapper 在 块 级 别 上 操作 ， 因 此 对 于 大 文件 而 言 更 能 
效 地 利用 空间 。 如 果 你 目前 使 用 的 是 Ubuntu 或 Debian 主机 ， 那 么 你 使 用 的 驱动 程序 很 
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有 可 能 就 是 AUFS。 
Overlay 


与 AUFS 非常 相似 ， 它 被 合并 到 Linux 内 核 的 3.18 版 本 。Overlay 很 可 能 是 日 后 主要 支 
持 的 存储 驱动 ， 它 的 性 能 比 AUFS 稍 好 一 些 。 目 前 ， 它 主要 的 缺点 是 需要 一 个 较 新 版 本 
的 内 核 (对 大 多 数 发 行 版 而 言 ， 意 味 着 需要 对 内 核 打 补丁 )， 并 且 它 还 没有 像 AUFS 和 
一 些 其 他 选项 那样 经 过 那么 多 考验 。 


BTRFS 


一 个 “ 写 时 复制 ”(copy-on-write) 的 文件 系统 , 专注 于 支持 容错 性 、 非常 大 的 文件 和 卷 

(volume)。 由 于 BTRFS 有 一 些 奇 怪 的 行为 和 陷阱 (特别 是 关于 chunk)， 因 此 只 建议 对 

BTRFS 有 经 验 的 组 织 使 用 ， 或 者 当 需 要 一 些 BTRFS 特有 而 其 他 驱动 程序 并 未 支持 的 特 

性 时 。 如 果 你 的 容器 利用 块 级 别 的 支持 来 读 取 和 写 和 人 非常 大 的 文件 ， 它 会 是 一 个 不 错 的 

选择 。 
ZFS 


这 个 备 受 宠爱 的 文件 系统 原本 由 Sun Microsystems 开发 。 它 在 许多 方面 与 BTRFS 很 类 
似 ， 但 可 以 说 它 共 有 更 好 的 性 能 和 可 靠 性 。 在 Linux 上 运行 ZFS 并 不 简单 ， 由 于 许可 
证 的 问题 ， 它 不 能 被 放 进 内 核 。 因此 ，ZFS 很 可 能 只 会 被 拥有 充分 的 ZFS 经 验 的 机 构 
所 采用 。 


Device mapper 


红 帽 系统 默认 使 用 它 。Device mapper 是 个 内 核 驱 动 ， 它 被 用 作 某 些 技术 的 基础 ， 诸 
如 RAID、 设 备 加 密 和 快照 。Docker 使 用 Device mapper 的 自动 精简 配置 (thin 
provisioning ， 有 时 称 为 thinp)“ 来 达到 块 级 别 而 非 文件 级 别 的 写 时 复制 。“thin pool” 从 
稀 玻 文件 (sparse file) 分 配 ， 默 认 大 小 为 100GB。 容 器 被 创建 的 时 候 ， 将 会 被 分 配 一 
个 利用 这 个 pool 所 建立 的 文件 系统 ， 其 大 小 默认 为 100GB (适用 于 Docker 1.8)。 由 于 
是 稀 玻 文件， 实际 磁盘 的 使 用 空间 要 少 得 多 ， 但 一 个 容器 的 使 用 空间 不 能 超过 100GB， 
除非 修改 默认 值 。Device mapper 可 以 说 是 Docker 的 众多 存储 驱动 中 最 为 复杂 的 一 个 ， 
也 是 问题 和 寻求 帮助 的 一 个 主要 来 源 。 如 果 可 能 的 话 ， 我 会 建议 使 用 其 他 驱动 。 但 如 果 
你 真 的 要 使 用 Device mapper 的 话 ， 请 记 住 它 有 很 多 选项 可 供 调整 ， 以 提供 更 好 的 效能 
(尤其 是 把 存储 从 “loopback” 设 备 移 到 一 个 真正 的 设备 ， 这 是 个 不 错 的 主意 )。 


VFS 


默认 的 Linux 虚拟 文件 系统 。 它 没有 实现 写 时 复制 ， 因 此 启动 一 个 新 容器 时 需要 复制 整 
个 镜像 。 这 样 就 会 使 启动 容器 变 得 很 慢 ， 并 且 大 幅度 增加 了 磁盘 所 需 的 空间 。 它 的 优点 






































































































































注 4: 不 要 问 我 BTRFS 怎么 念 ， 有 人 念 “ButterFS”， 也 有 人 念 “BetterFS”;， 我 念 成 “FSCK”。 

注 5; Ubuntu 决定 从 Ubuntu 16.04 开始 把 ZFS 合并 到 它 的 内 核 中 一 同 发 布 。 译 者 注 

注 6: 在 自动 精简 配置 中 ， 客 户 端 请 求 的 资源 不 会 立即 全 部 分 配 完成 ， 而 只 会 在 真正 需要 的 时 候 分 配 。 与 此 
相反 ， 传 统 密集 配置 (thick provisioning) 则 会 立即 预 留 客户 端 请 求 的 资源 ， 即 使 客户 端 也 许 仅 使 用 
资源 的 一 小 部 分 。 



































是 非常 简单 ， 而 且 不 需要 任何 特别 的 内 核 功能 。 如 果 你 在 使 用 其 他 的 驱动 时 遇 到 问题 ， 
而 且 不 介意 VFS 较 差 的 性 能 的 话 (譬如 你 只 有 少数 长 时 间 使 用 的 容器 ) ， 那 么 它 会 是 个 
合理 的 选择 。 
除非 你 有 特别 的 理由 去 选择 其 他 的 驱动 ， 我 会 建议 你 使 用 AUFS 或 Overlay， 即 使 这 意味 
着 需要 更 新 内 核 。 


切换 存储 驱动 程序 

假如 你 已 经 安装 好 所 需 的 依赖 关系 ， 切 换 存储 驱动 程序 是 很 容易 的 。 只 需 重新 启动 Docker 
守护 进程 ， 并 把 适当 的 值 传 给 - -storage-driver 参数 (简写 为 -s)。 例 如 ， 如 果 你 的 内 
核 支持 Overlay， 你 可 以 通过 docker daemon -s overlay 命令 以 Overlay 存储 驱动 来 启动 
docker 守护 进程 。 特 别 要 注意 --graph 或 -g 参数 ， 这 个 参数 设置 Docker 运行 时 使 用 的 根 
目录 一 一 你 可 能 需要 移动 到 适当 的 文件 系统 所 在 的 分 区 来 执行 Docker (例如 使 用 BTRFS 
驱动 的 话 ， 需 要 执行 docker daemon -s btrfs -g /mnt/btrfs_partition)。 


要 把 改动 固定 为 永久 ， 需 要 编辑 Docker 服务 的 启动 脚本 或 配置 文件 。 如 果 是 在 Ubuntu 
14.04 上 ， 那 么 需要 编辑 /etc/default/docker 文件 中 的 DOCKER_OPTS 变量 。 















































在 存储 驱动 之 间 移 动 镜像 

当 切 换 存储 驱动 程序 之 后 ， 你 将 无 法 访问 所 有 的 旧 容 器 和 旧 镜 像 。 回 到 之 前 
的 存储 驱动 就 能 恢复 原状 。 要 将 镜像 迁移 到 新 的 存储 驱动 程序 ， 只 需 将 镜像 
保存 到 一 个 TAR 文件 ， 然 后 在 新 文件 系统 里 加 载 它 。 例 如 : 


$ docker save -o /tmp/debian.tar debian:wheezy 
$ sudo stop docker 
$ docker daemon -s vfs 


Eg 























在 新 的 终端 下 执行 : 

$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
$ docker load -i /tmp/debian.tar 

$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
debian wheezy b3d362b23ec1 2 days ago 84.96 MB 


9.5 专门 的 托管 方案 


市 面 上 已 经 有 一 些 无 需 你 直接 管理 主机 的 专门 的 容器 托管 方案 。 

















9.5.1 Triton 


Joyent 公司 (https:Wwww.joyentcom) 的 Triton 也 许 是 所 有 方案 中 最 有 趣 的 一 个 ， 因 为 它 
的 内 部 并 不 使 用 虚拟 机 。 这 使 得 Triton 相 比 于 其 他 基于 虚拟 机 的 方案 具有 显著 的 性 能 优 
势 ， 并 且 人 允许 按 单个 容器 部 署 。 























Triton 没有 使 用 Docker 引擎 ， 而 是 通过 Linux 虚拟 化 技术 自我 实现 了 一 个 基于 SmartOS 虚 
拟 机 管理 程序 〈 它 的 根源 可 以 追 斋 至 Solaris) 的 容器 引擎 。 通 过 实现 Docker 的 远程 APL， 
Triton 与 常规 的 Docker 客户 端 完全 兼容 ， 而 Docker 客户 端 被 用 作 Triton 的 标准 接口 。 
Docker Hub 上 的 镜像 也 能 正常 使 用 。 

Triton 是 开源 的 ， 并 提供 两 种 托管 版 本 ， 一 种 运行 在 Joyent 云端 ， 另 一 种 是 企业 内 部 的 版 
本 。 通 过 Joyent 的 公有 云 ， 我 们 可 以 迅速 地 把 identidock 运行 起 来 。 在 Triton 创建 账户 并 
把 Docker 客户 端 指向 Triton 后 ， 堂 试 执行 docker info， 











$ docker info 
Containers: 0 
Images: 0 
Storage Driver: sdc 
SDCAccount: amouat 
Execution Driver: sdc-0.3.0 
Logging Driver: json-file 
Kernel Version: 3.12.0-1-amd64 
Operating System: SmartDataCenter 
CPUs: 0 
Total Memory: 0 B 
Name: us-east-1 
ID: 92b0cf3a-82c8-4bf2-8b74-836d1dd61003 
Username: amouat 
Registry: https://index.docker.io/v1/ 


注意 操作 系统 (operating system) 和 执行 驱动 (execution driver) 的 值 ， 它 们 表示 我 们 
不 是 运行 在 一 个 普通 的 Docker 引 敬 上。 可 以 使 用 Compose 及 以 下 的 triton.yml 文件 启动 
identidock， 因 为 Triton 支持 大 部 分 的 Docker 引擎 API: 














proxy: 
image: amouat/proxy:1.0 
Links : 
- identidock 
ports : 
- "80:80" 
environment: 
- NGINX_HOST=www.identidock.com 
- NGINX_PROXY=http://identidock:9090 
mem_limit: "128M" 
identidock: 
image: amouat/identidock:1.0 
links: 
- dnmonster 
- redis 
environment: 
ENV: PROD 
mem_limit: "128M" 
dnmonster: 
image: amouat/dnmonster:1.0 
mem_limit: "128M" 
redis: 
image: redis 
mem_limit: "128M" 








这 个 文件 与 prod.yml 几乎 一 样 ， 不 同 的 是 添加 了 一 些 关 于 内 存 的 设置 ， 用 于 告诉 Triton 容 
器 的 大 小 。 我 们 不 会 构建 自己 的 镜像 ， 而 是 利用 公共 镜像 (目前 Triton 还 不 支持 docker 
buiLd) 。 
局 动 应 用 : 

$ docker-compose -f triton.ymL up -d 

Creating triton_proxy_1... 

$ docker inspect -f {{.NetworkSettings.IPAddress}} triton_proxy_1 

165.225.128.41 


$ curl 165.225.128.41 
<html><head><title>Hello... 


当 发 现 一 个 需要 发 布 的 端口 时 ，Triton 会 自动 使 用 能 被 公开 访问 的 IP。 
当 Triton 上 的 容器 使 用 完毕 后 ， 务 必 把 它们 停止 并 删除 ，Triton 会 对 已 停止 但 未 删除 的 容 
器 收费 。 


通过 原生 的 Docker 工具 来 使 用 Triton 服务 是 个 很 棒 的 经 验 ， 但 也 有 一 些 瑕 症 ;， 并 非 所 有 
的 API 接口 都 能 支持 ，Compose 如 何 处 理 数据 卷 也 有 一 些 问题 ， 但 这 些 问 题 应 该 会 在 将 来 
得 到 解决 。 

直到 主流 的 云 提 供 商 相信 Linux 内 核 提供 的 隔离 保证 足够 强大 ， 运 行 容器 时 不 用 担心 任何 
安全 问题 的 那 一 天 到 来 之 前 ，Triton 仍然 是 运行 容器 化 系统 最 具 吸 引力 的 解决 方案 之 一 。 


9.5.2 ”谷歌 容器 引擎 

谷歌 容器 引擎 (GKE，https://cloud.google.com/container-engine/) 建立 在 Kubernetes 编排 系 
统 的 基础 上 ， 运 行 容器 的 方式 独树一帜 。 

Kubernetes 是 一 个 由 谷歌 设计 的 开源 项 目 ， 设 计时 吸取 了 他 们 曾 在 内 部 运行 Borg 集群 管理 
器 时 的 教训 。” 
部 署 应 用 到 GKE 时 需要 对 Kubernetes 有 一 些 基 本 认识 ， 并 需要 创建 一 些 Kubernetes 的 配 
置 文件 ，12.1.3 节 中 将 会 谈 及 这 些 。 

虽然 要 付出 更 多 的 精力 来 配置 应 用 ， 但 回报 是 获得 诸如 自动 复制 及 负载 均衡 这 些 服 务 。 它 
们 听 起 来 好 像 只 有 那些 高 流量 和 含有 大 量 分 布 式 子 系统 的 大 型 服务 才 需 要 的 ， 但 在 你 的 服 
务 需 要 保证 正常 运行 时 间 的 情况 下 ， 这 些 服务 立刻 就 变 得 很 重要 了 。 

我 强烈 推荐 使 用 Kubernetes 来 部 署 容器 系统 ， 尤 其 是 GKE， 但 必须 注意 的 是 ， 使 用 它们 之 
后 ， 你 就 会 被 绑 定 在 Kubernetes 的 模式 ， 迁 移 到 其 他 供应 商 将 会 变 得 更 困难 。 
























































注 7:“ 谷 歌 利 用 Borg 实现 大 型 集群 管理 ”(“Large-scale cluster management at Google with Borg”，https:// 
research.google.com/pubs/pub43438.html) 这 篇 论文 讲述 了 如 何 运 行 一 个 处 理 成 千 上 万 个 任务 的 集群 ， 
非常 精彩 。 
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9.5.3 ”亚马逊 EC2 容 器 服务 


亚马逊 EC2 容器 服务 (ECS，https://aws.amazon.com/ecs/) 可 以 让 你 在 亚马逊 的 EC2 设施 
上 运行 容器 。ECS 提供 了 一 个 Web 界面 ， 以 及 用 于 启动 容器 和 管理 底层 EC2 集群 的 API。 


0 点 上 ，ECS 都 会 启动 一 个 容器 代理 (container agent) ， 它 与 ECS 服务 进 
通信 ， 并 负责 启动 、 停 止 和 监视 容器 。 


虽然 在 ECS 上 将 identidock 运行 起 来 ， 会 涉及 AWS 独 有 的 界面 以 及 几 十 个 配置 选项 ， 但 
相对 而 言 还 是 比较 快 的 。 在 ECS 注册 并 创建 一 个 集群 之 后 ， 我 们 需要 为 identidock 上 传 一 
个 “任务 定义 ”(task definition)。 下 面 的 JSON 文件 可 以 用 作 identidock 的 定义 。 


{ 
"family": "identidock", 
"containerDefinitions": [ 
人 
"Name": "proxy", 
"image": "amouat/proxy:1.0", 
"cpu": 100， 
"memory": 100， 
"environment": [ 
{ 
"name": "NGINX_HOST", 
"value": "www.identidock.com" 
所 
"name": "NGINX_PROXY", 


"value": "http://identidock:9090" 
} 
]， 
"portMappings": [ 
€ 






































"hostPort": 80， 
"containerport": 80, 
"protocol": "tcp" 
} 
Js 
"links": [ 
"identidock" 


]， 


"essential": true 


"name": "identidock", 

"image": "amouat/identidock:1.0", 
"cpu": 100， 

"memory": 100, 

"environment": [ 


{ 
"name": "ENV", 
"value": "PROD" 
} 
5 
"Links": [ 
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"dnmonster", 
"redis" 


] 


3 
"essential": true 


]， 

{ 
"name": "dnmonster", 
"image": "amouat/dnmonster:1.0", 
"cpu": 100， 


"memory": 100， 
"essential": true 


]， 
"name": "redis", 
"image": "redis:3", 
"cpu": 100， 


"memory": 100， 
"essential": false 
} 
] 








} 
每 个 容器 需要 指定 内 存 大 小 (以 MB 为 单位 ) 和 CPU 单元 数 。essential 关键 字 定 义 当 容 
器 无 法 运行 时 任务 是 否 应 该 停止 。 在 我 们 的 例子 中 ，Redis 容器 可 以 定义 为 非 essential， 因 
为 即使 疫 有 它 ， 应 用 程序 仍然 能 够 工作 。 其 他 字段 的 含义 看 字面 应 该 就 能 明白 。 


一 旦 任务 创建 成 功 ， 你 便 需 要 在 集群 上 启动 它 。identidock 应 启动 为 服务 ， 而 不 是 一 次 性 
任务 。 以 服务 运行 意味 着 ECS 将 监控 容器 以 确保 它 的 可 用 性 ， 并 提供 连接 到 亚马逊 的 弹性 
负载 均衡 (Elastic Load Balancer) ， 把 流量 平均 分 布 至 各 实例 。 创 建 服务 时 ，ECS 会 询问 一 
个 名 字 和 它 需 要 确保 运行 的 任务 数 。 创 建 服务 后 ， 等 待 任务 启动 时 ， 你 应 该 能 够 通过 EC2 
实例 的 卫 地 址 来 访问 identidock。IP 地 址 可 以 在 任务 实例 的 详细 信息 页 面 上 关于 代理 容器 
的 扩展 信息 中 找到 。 


停止 服务 和 相关 资源 需要 几 个 步 又 。 首 先 需要 把 服务 的 任务 数量 改 为 0， 以 避免 ECS 在 关 
闭 任 务 的 同时 启动 替代 它们 的 任务 。 这 个 时 候 ， 你 可 以 把 服务 删除 。 在 集群 能 够 被 删除 之 
前 ， 还 需要 注销 容器 示例 。 还 要 注意 曾经 启动 过 的 任何 相关 资源 也 必须 停 掉 ， 如 弹性 负载 
均衡 器 或 弹性 块 存 储 (Elastic Block Store，EBS)。 


ECS 的 幕后 其 实 进行 着 非常 多 的 技术 工作 。 只 需 简单 点 击 儿 下 ， 便 能 启动 数 百 甚至 数 千 个 
容器 ， 为 你 提供 真正 的 扩展 能 力 。 容 器 部 署 到 主机 的 调度 算法 是 高 度 可 配置 的 ， 允 许 用 户 
按照 自己 的 需求 进行 优化 ， 如 效率 最 大 化 或 可 靠 性 最 大 化 。 用 户 可 以 把 默认 的 ECS 调度 程 
序 替 换 成 自己 的 方案 ， 或 者 第 三 方 方 案 ， 如 Marathon (参见 12.1.4 节 )。 


ECS 还 集成 了 现 有 的 亚马逊 功能 ， 璧 如 能 够 把 负载 分 布 到 多 个 实例 的 弹性 负载 均衡 ， 以 及 
实现 持久 存储 的 弹性 块 存储 。 













































































9.5.4 Giant Swarm 


Giant Swarm (https://giantswarm.io/) 自称 是 “独树一帜 的 微服 务 架 构 解 决 方案 ”， 意 
通过 它 专 门 的 配置 格式 ， 启 动 基 于 Docker 的 系统 既 快速 又 简便 。Giant Swarm 提供 两 种 不 


国 
4 


局 并 
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同 的 方案 ， 一 种 是 共享 集群 上 的 托管 方案 ， 另 一 种 是 独立 方案 (Giant Swarm 将 为 你 部 署 





和 维护 裸 机 上 的 主机 )， 也 是 部 署 在 企业 内 部 的 解决 方案 。 在 撰写 本 
仍 处 于 Alpha 阶段 ， 独 立方 案 则 已 经 可 以 用 于 生产 环境 。 





的 时 候 ， 共 享 方 案 


Giant Swarm 不 常用 到 虚拟 机 ， 甚 至 不 会 使 用 ， 这 种 方式 较为 罕见 。 有 严格 安全 要 求 的 用 
户 使 用 独立 的 裸 机 作为 主机 ， 但 在 共享 集群 上 ， 不 同 用 户 的 容器 运行 则 是 彼此 相 邻 的 。 











接 下 来 看 看 如 何在 Giant Swarm 的 共享 集群 上 运行 identidock。 假 设 你 
的 访问 权限 ， 并 已 安装 它 的 swarm 命令 行 工 具 ,“ 现 在 就 开始 创建 下 面 
保存 为 swarm.json: 








{ 
"name": "identidock_svc", 
"components": { 
"proxy": { 
"image": "amouat/proxy:1.0", 
"ports": [80], 
"env": { 
"NGINX_HOST": "$domain", 
"NGINX_PROXY": "http://identidock:9090" 
}， 
"links": [ { 
"component": "identidock", 
"target_port": 9090 
}]，, 
"domains": { "80": "$domain" } 
]， 
"identidock": { 
"image": "amouat/identidock:1.0", 
"ports": [9090], 
"links": [ 
{ 
"component": "dnmonster", 
"target_port": 8080 
}， 
{ 
"component": "redis", 
"target_port": 6379 
} 
] 
]， 
"redis": { 
"image": "redis:3", 
"ports": [6379] 
}， 
"dnmonster": { 
"image": "amouat/dnmonster:1.0", 
"ports": [8080] 
} 
} 
} 





注 8: 虽然 Docker 的 集群 方案 也 叫 swarm， 但 二 者 彼此 没有 任何 关系 。 





已 取得 Giant Swarm 
的 配置 文件 , 并 把 它 
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现在 是 时 候 让 identidock 登场 了 。 


$ swarm up --var=domain=identidock-$(swarm user).gigantic.io 
Starting service identidock_svc... 

Service identidock_svc is up. 

You can see all components using this command: 


swarm status identidock_svc 


$ swarm status identidock_svc 
Service identidock_svc is Up 


component image instanceid created status 
dnmonster amouat/dnmonster:1.0 m6eyoilfiei1 2015-09-04 09:50:40 up 
identidock amouat/identidock:1.0 r22ut7hOvx39 2015-09-04 09:50:40 up 
proxy amouat/proxy:1.0 6dr38cmrg3nx 2015-09-04 09:50:40 up 
redis redis:3 jvcf15d6Lpz4 2015-09-04 09:50:40 up 

$ curl identidock-amouat.gigantic.io 

<html><head><title>Hello... 


这 里 展示 了 其 中 一 个 Giant Swarm 的 配置 文件 中 Docker Compose 所 不 具备 的 特色 ， 那 就 
是 允许 使 用 模板 变量 的 能 力 。 在 刚才 的 例子 中 ， 我 们 在 命令 行 上 传 入 主机 名 ，swarm 便 
将 swarm.json 中 的 $domain 替换 为 主机 名 的 值 。 其 他 swarm.json 提供 的 功能 包括 可 以 定义 
pod， 即 一 组 能 同时 调度 的 容器 ， 以 及 定义 某 个 容器 允许 运行 的 实例 数量 。 


最 后 ， 除 了 swarm 的 命令 行 工具 ， 它 还 有 一 个 用 于 监控 服务 和 查看 日 志 的 Web 用 户 界面 
以 及 可 用 于 实现 Giant Swarm 自动 化 的 REST API。 


9.6 持久 性 数据 和 生产 环境 容器 


可 以 说 ， 在 Docker 的 世界 里 ， 有 关 数 据 存储 的 理论 并 没有 改变 多 少 ， 至 少 在 规模 较 大 的 
系统 中 是 如 此 。 如 果 你 运行 自己 的 数据 库 ， 你 可 以 选择 使 用 Docker 容器 、 虚 拟 机 或 裸 机 。 
如 果 你 有 大 量 数据 ， 由 于 数据 迁移 的 难度 ， 实 际 上 你 的 虚拟 机 或 容器 最 终 只 会 被 固定 在 它 
的 主机 上 。 这 意味 着 通常 与 容器 挂 钓 的 可 移植 性 这 个 优点 不 再 适用 ， 但 你 可 能 仍然 会 为 了 
保持 平台 的 一 致 性 以 及 隔离 的 好 处 而 继续 使 用 容器 。 如 果 你 对 性 能 有 所 顾虑 ， 可 以 使 用 
--net=host 和 --privileged 这 两 个 参数 ， 以 确保 容器 实际 上 能 与 主机 的 虚拟 机 或 裸 机 一 样 
高 效 ， 但 要 注意 安全 方面 它们 可 能 带 来 的 后 果 。 如 果 你 没有 运行 自己 的 数据 库 ， 而 是 使 用 
如 Amazon RDS 的 托管 服务 ， 那 么 就 没有 什么 需要 特别 注意 的 。 


而 当 规模 较 小 ， 即 容器 使 用 的 配置 文件 以 及 数据 量 不 太 多 时 ， 你 可 能 会 觉得 数据 卷 限制 颇 
多 ， 因 为 它 会 把 你 和 台 主 机 上 ， 使 得 扩展 和 迁移 容器 更 加 困难 。 你 可 以 考虑 将 这 
些 数据 迁移 到 单独 的 键 值 存 储 或 数据 库 ， 毕 竟 它 们 也 可 以 在 容器 中 运行 。 一 个 挺 有 意思 的 
另类 方法 是 使 用 Flocker (https://github.com/ClusterHQ/flocker) 来 管理 你 的 数据 卷 。Flocker 
利用 ZFS 文件 系统 的 功能 来 支持 容器 数据 的 迁移 。 如 果 你 正 尝试 采用 微服 务 架构 ， 那 么 你 
会 发 现 ， 尽 可 能 使 容器 保持 无 状态 (stateless) 将 会 令 很 多 事情 变 得 简单 。 




































































































































































齐 下 妆 位 
9.7 ”分享 秘密 信息 
你 可 能 有 一 些 敏感 数据 ， 例 如 密码 和 API 密 钥 ,需要 在 安全 的 情况 下 与 你 的 容器 共享 。 下 
面 将 会 介绍 这 样 做 的 几 种 方法 ， 以 及 它们 各 自 的 优 缺 点 。” 


9.7.1 在 镜像 中 保存 秘密 信息 
千 万 不 要 这 样 做 ， 这 个 主意 粳 透 了 。m 


虽然 这 可 能 是 最 简单 的 方法 ， 但 它 意味 着 任何 能 够 获取 镜像 的 人 都 能 获取 你 的 秘密 信息 。 而 
且 它 也 无 法 被 删除 ， 因 为 它 会 在 先前 的 镜像 层 中 一 直 存 在 。 即 使 你 使 用 的 是 私有 寄存 服务 ， 
或 没有 使 用 任何 寄存 服务 ， 也 难免 遇 到 别人 不 小 心 把 镜像 公开 的 情况 ， 而 且 别 人 也 不 一 定 要 
获取 到 镜像 才能 得 知 这 些 秘密 信息 。 此 外 ， 这 样 做 将 使 你 的 镜像 只 能 用 于 特定 的 配置 。 


你 可 以 把 秘密 信息 进行 加 密 ， 然 后 存储 到 镜像 中 ， 但 你 仍然 需要 想 办 法 将 解密 密 钥 传 到 使 
用 者 的 手中 ， 而 这 会 让 攻击 者 有 机 可 乘 ， 可 说 是 多 此 一 举 。 
我 建议 还 是 干脆 打消 这 个 念头 吧 。 我 把 这 个 “方法 ”提出 来 的 原因 是 ， 当 有 人 真 的 这 样 做 
了 而 且 出 了 大 事 之 后 ， 我 就 可 以 让 大 家 看 看 ， 其 实 我 早 就 在 此 给 你 们 提 过 醒 了 。 


9.7.2 ”通过 环境 变量 传递 密 钥 


通过 环境 变量 传递 密 钥 是 个 非常 简单 直接 的 方法 ， 和 把 密 钥 写 到 镜像 中 相 比 要 好 很 多 。 它 
实现 起 来 也 很 简单 ， 只 需 把 密 钥 作为 参数 传 给 docker run。 举 例如 下 : 


$ docker run -d -e API_TOKEN=my_secret_token myimage 


很 多 应 用 程序 和 配置 文件 都 能 直接 支持 使 用 环境 变量 。 但 对 于 未 能 直接 支持 的 ， 你 可 能 需 
要 实现 类 似 9.2 节 中 所 写 的 脚本 。 


这 个 方法 受到 备 受 欢迎 和 推崇 的 “十 二 要 素 应 用 宣言 ”(The Twelve-Factor App，http:/12factor. 
net) 的 推荐 ， 它 是 一 种 构建 软件 即 服务 的 应 用 的 方法 论 。" 虽然 我 强 列 建 议 大 家 阅读 这 个 文 
档 并 运用 其 中 的 大 部 分 建议 ， 但 在 环境 变量 中 存储 密 钥 还 是 有 一 些 严 重 的 缺陷 ， 列 举 如 下 。 


。 环境 变量 对 所 有 子 进程 、docker inspect 以 及 任何 连接 容器 强 可见。 它们 都 不 具备 能 看 见 
密 钥 的 充分 理由 。 

。 环境 变量 通常 会 被 保存 下 来 ， 以 供 日 志和 调试 之 用 。 这 使 得 在 调试 日 志和 问题 跟踪 系统 
中 暴露 密 钥 的 风险 极 大 。 

。 它们 不 能 被 删除 。 理 想 情 况 下 ， 当 我 们 使 用 密 钥 之 后 ， 我 们 希望 能 够 把 它 履 盖 或 彻底 删 
除 ， 但 对 Docker 容器 来 说 是 不 可 能 做 到 的 。 


基于 上 述 原因 ， 我 不 建议 使 用 这 个 方法 。 
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注 9: 如 果 你 使 用 了 配置 管理 软件 (如 Ansible) 来 管理 你 配置 的 容器 的 话 ， 那 么 它 可 
解决 方案 ， 或 者 能 提供 解决 这 一 问题 的 相关 方法 。 
注 10: 值 得 指出 的 是 ， 十 二 要 素 应 用 宣言 "的 出 现 要 早 于 Docker 容器 ,因此 某 些 建议 需要 经 过 调整 才能 适用 。 


已 经 实现 了 相关 的 





























9.7.3 通过 数据 卷 传递 密 铀 

使 用 数据 卷 来 分 享 密 钥 是 稍微 好 一 点 的 解决 方案 ， 虽 然 远 非 完美 。 举 例如 下 : 
$ docker run -d -v $(pwd):/secret-file:/secret-file:ro myimage 

除非 你 映射 的 配置 文件 整个 都 是 密 钥 ， 否 则 你 很 可 能 需要 制作 脚本 来 处 理 用 这 个 方法 传递 

的 密 钥 。 如 果 你 感觉 自己 技术 了 得 ， 还 可 以 创建 一 个 临时 文件 存放 密 钥 ， 并 在 读 完 它 之 后 

把 文件 删除 〈 但 小 心 ， 千 万 不 要 把 原始 文件 删除 ) 。 

对 于 使 用 环境 变量 的 配置 文件 ， 还 可 以 创建 一 个 脚本 来 设置 环境 变量 ， 并 在 运行 相应 的 应 

用 程序 前 对 该 脚本 进行 source 操作 来 读 取 它 的 内 容 。 举 例如 下 : 


$ cat /secret/env.sh 
export DB_PASSWORD=s3cr3t 
$ source /secret/env.sh && run_my_app.sh 






































这 样 做 的 一 个 主要 优点 是 ， 变 量 不 会 被 暴露 给 docker inspect 或 连接 容器 。 


这 个 方法 的 主要 缺点 是 ， 密 钥 需 要 以 文件 的 形式 保存 ， 这 样 就 很 容易 被 提交 到 版 本 控制 系 
统 。 并 且 由 于 通常 需要 创建 脚本 ， 这 个 方案 也 可 能 会 更 楷 琐 。 


9.7.4 使 用 键 值 存储 

最 好 的 解决 办 法 可 以 说 是 使 用 键 值 存储 来 保存 密 钥 ， 在 运行 时 需要 获取 密 钥 的 时 候 便 从 容 

器 中 读 取 它 们 。 这 样 做 可 以 对 密 钥 多 加 一 重 控制 ， 这 是 前 文 所 述 的 方法 做 不 到 的 ， 不 过 需 

要 更 多 的 配置 步 又 ， 并 且 要 信任 你 所 使 用 的 键 值 存储 。 

以 下 几 种 解决 方案 都 能 提供 这 方面 的 功能 。 

KeyWhiz (https:/square.github.io/keywhiz/) 
将 密 钥 加 密 并 存放 在 内 存 中 ， 提 供 REST API 和 命令 行 界面 (CLI) 两 种 访问 接口 。 由 
Square 公司 (一 家 支付 处 理 公 司 ) 开发 及 使 用 。 

Vault (https://hashicorp.com/blog/vault.htm]l) 
可 以 把 已 加 密 的 密 钥 存储 在 多 种 后 端 中 ， 包 括 文件 和 Consul。 它 也 提供 CLI 和 API。 虽 
然 它 还 有 几 个 KeyWhiz 没有 的 功能 ， 但 我 认为 它们 还 不 太 成 熟 。Vault 由 Hashicorp 公 
司 开 发 ， 它 同时 也 是 服务 发 现 工具 Consul 和 基础 设施 配置 工具 Terraform 背后 的 公司 。 


Crypt (https://xordataexchange.github.io/crypt/) 


它 把 已 加 密 的 值 保存 在 etcd 或 Consul 键 值 存储 中 。 这 种 方法 最 大 的 好 处 是 对 密 钥 的 控 

制程 度 提升 到 了 前 所 未 有 的 高 度 。 它 使 得 更 改 和 删除 密 钥 更 容易 ， 还 可 以 给 密 钥 附 上 

“ 租 期 ”， 使 它们 在 规定 期 限 之 后 失效 ， 或 者 在 出 现 安全 警报 时 封锁 对 密 钥 的 访问 。 
然而 还 有 一 个 问题 : 键 值 存储 如 何 对 容器 进行 身份 验证 ? 按照 一 般 的 做 法 ， 仍 然 需要 把 私 
钥 以 数据 卷 的 方式 传 给 容器 ， 或 者 以 环境 变量 的 方式 把 令 牌 传 给 它 。 先 前 已 说 过 反对 使 用 
环境 变量 ， 这 里 可 以 用 一 次 性 令 牌 来 解决 ， 它 在 使 用 后 便 会 立即 失效 。 目 前 正在 开发 的 另 
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一 种 解决 方案 是 通过 对 键 值 存储 使 用 数据 卷 插件 ， 播 件 把 键 值 存储 中 的 秘密 信息 以 文件 的 
形式 挂 载 到 容器 内 。GitHub 上 (https://github.com/calavera/docker-volume-keywhiz) 有 更 多 
关于 如 何 把 这 种 方法 应 用 于 KeyWhiz 存储 的 详细 信息 。 

这 种 解决 方案 将 会 是 未 来 的 方向 。 尽 管 实施 这 种 方案 时 要 面 对 很 多 难题 ， 但 它 能 够 对 敏感 
数据 提供 的 控制 精度 却 是 非常 值得 去 实现 的 ， 而 且 随 着 工具 的 改良 ， 实 施 的 难度 也 将 降 
低 。 不 过 你 不 仿 多 等 一 会 儿 ， 看 看 它们 以 后 的 发 展 情况 再 作 决定 。 当 前 你 可 以 先 用 数据 卷 
来 传递 私密 信息 ， 但 要 非常 小 心 ， 千 万 不 要 把 它们 提交 到 版 本 控制 系统 中 。 


9.8 网 络 连接 


第 11 章 将 会 深入 讨论 网 络 连接 。 不 过 值得 注意 的 是 ， 如 果 你 使 用 的 是 原生 的 Docker 网 络 
连接 技术 ， 系 统 性 能 将 会 大 打折 扣 一 一 建立 Docker bridge 和 使 用 veth" 意味 着 大 量 的 网 络 
路 由 发 生 在 用 户 空间 ， 这 要 比 硬件 的 路 由 器 或 内 核 处 理 要 慢 得 多 。 


9.9 生产 环境 的 寄存 服务 


在 identidock 的 范例 中 ， 我 们 一 直 只 使 用 Docker Hub 来 获取 我 们 的 镜像 。 大 多 数 用 于 生产 
环境 的 设置 都 会 包含 一 个 (或 多 个 ) 寄存 服务 器 ， 用 于 提供 镜像 的 快速 存 取 ， 并 避免 将 这 
个 关键 的 基础 设施 依赖 于 第 三 方 《有 些 机 构 不 放心 把 他 们 的 代码 存储 在 第 三 方 ， 无 论 是 否 
在 私人 仓库 里 )。 有 关 设 置 寄存 服务 的 详细 信息 ， 可 以 参考 前 面 的 7.4.1 节 。 


你 必须 保持 寄存 服务 器 中 的 镜像 是 最 新 的 并 且 是 正确 的 ， 这 件 事 情 非 常 重要 ， 因 为 你 绝对 
不 会 希望 主机 能 够 下 载 镜像 过 去 的 版 本 ， 甚 至 存在 安全 风险 的 镜像 。 出 于 这 个 原因 ， 对 寄 
存 服务 器 进行 定期 审核 是 个 很 好 的 主意 ， 关 于 这 部 分 的 内 容 将 会 在 13.10 市 中 讲述 。 但 请 
说 记 ， 每 个 Docker 主机 都 有 它 自己 的 镜像 缓存 ， 审 核 时 千 万 不 要 忽略 它 。 

镜像 的 复制 (mirroring)、 支 持 可 扩展 的 拓扑 结构 的 类 似 用 途 以 及 高 可 用 性 ， 目 前 都 正 由 
Docker 分 布 项 目 (https://github.com/docker/distribution/) 进行 开发 。 


9.10 ”持续 部 署 /交付 


持续 交付 是 把 持续 集成 延伸 到 生产 环境 的 一 套 方 法 ， 理论 上 工程 师 能 够 在 开发 环境 中 修改 
程序 并 对 它们 进行 测试 ， 并 且 只 需 简单 点 击 一 个 按钮 ， 就 可 以 把 应 用 准备 好 ， 用 于 正式 部 
署 。 持 续 部 署 更 进一步 ， 把 能 够 通过 测试 的 改动 自动 推送 到 正式 部 署 的 环境 。 

第 8 章 介 绍 过 如 何 使 用 Jenkins 建立 一 个 持续 集成 系统 。 扩 展 到 持续 部 署 可 以 通过 把 镜像 
推送 到 生产 环境 的 寄存 服务 器 ， 以 及 将 运行 中 的 容器 迁移 到 新 镜像 来 实现 。 无 需 停机 的 镜 
像 迁移 需要 先 启动 新 容器 ， 并 给 流量 重新 配置 路 由 ， 然 后 才 可 以 停止 旧 容 器 。 有 儿 种 可 行 
的 方法 来 安全 地 实现 它 ， 例 如 在 8.6 节 下 的 辅助 栏 “ 在 生产 环境 中 测试 ”中 曾经 提 过 的 蓝 / 





































































































注 11: 虚拟 以 太 网 (Virtual Ethernet) ， 又 称 为 veth， 是 一 个 拥有 自己 MAC 地 址 的 虚拟 网 络 设备 ， 为 了 在 
虚拟 机 中 使 用 而 开发 。 
































绿 部 署 (blue/green deployment) 和 浙 增 式 部 署 (ramped deployment) 。 实 施 这 些 技术 通常 
会 用 到 内 部 开发 的 工具 ， 虽 然 类 似 Kubernetes 的 框架 提供 了 内 置 的 解决 方案 ， 我 还 是 期 待 
将 来 能 在 市 场 上 看 到 一 些 专门 的 工具 。 


9.11 总 结 


这 一 章 的 内 容 非 常 多 ， 禾 盖 了 关于 部 署 容 器 到 生产 环境 时 需要 浪 虑 的 方 方 再 
identidock 这 样 简单 的 程序 也 是 如 此 。 


虽然 容器 这 个 领域 还 很 新 ， 但 目前 已 经 有 一 些 生产 级 别 的 托管 容器 的 方案 可 供 选 择 。 究 
竞 哪 个 是 最 好 的 选择 ， 取 决 于 你 的 系统 规模 和 复杂 程度 ， 以 及 你 愿意 花费 多 少 精力 和 金 
钱 在 部 署 和 维护 上 。 小 型 的 部 署 只 需 在 云端 的 虚拟 机 上 运行 Docker 引擎 来 进行 管理 ， 但 
是 对 于 较 大 型 的 部 署 ， 维 护 的 负担 则 会 很 大 。 这 个 问题 可 以 通过 将 于 第 12 章 讨论 的 系统 
(比如 Kubernetes 和 Mesos) 来 缓解 ， 或 者 通过 使 用 专门 的 托管 服务 ， 比 如 Giant Swarm、 
Triton 或 ECS 。 


本 章 中 涉及 了 一 些 在 生产 环境 中 经 常 遇 到 的 问题 ， 从 启动 容器 这 样 简单 的 问题 ， 到 如 何 传 
递 秘 密 信息 、 处 理 数 据 卷 ， 以 至 持续 部 署 这 样 坏 手 的 问题 。 其 中 的 一 些 癌 题 需要 专门 为 容 
器 化 系统 制定 的 新 方法 ， 特 别 是 当 系 统 由 动态 微服 务 所 组 成 时 。 为 了 解决 这 些 问 题 ， 人 们 
将 会 开发 新 的 模式 并 寻找 最 佳 实践 ， 这 些 实践 将 发 展 为 新 的 工具 和 框架 。 现 在 容器 已 经 可 
以 在 生产 环境 中 稳定 使 用 ， 但 未 来 会 更 加 光明 。 








盏 ， 即 使 
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如 有 果 想 保持 任何 一 个 稍微 复杂 一 点 的 系统 能 够 正常 运作 ， 并 能 有 效 地 对 问题 进行 调试 ， 
记录 是 必 不 可 少 的 。 在 微服 务 架构 里 ， 日 志和 监控 将 更 为 
变 得 更 多 。 由 于 容器 的 短暂 生命 周期 特性 ， 当 你 调试 问题 的 时 候 ， 


么 对 容 


器 进行 有 效 的 监控 和 日 志 
重要 ， 因 为 机 器 的 数量 


志 记录 和 监控 








那个 容器 可 能 已 经 不 存在 了 ， 这 使 得 日 志 集 中 管理 成 为 不 可 或 缺 的 工具 。 





在 最 近 的 几 个 星期 乃至 几 个 月 ， 日 震 
记录 的 供应 商 已 经 开 








和 技术 ， 并 重点 推介 免费 和 开源 的 产品 。 我 们 将 会 看 到 如 何 扩展 identidock 应 用 至 日 
录 和 监控 方案 ， 而 这 些 方案 还 可 以 很 容易 地 扩展 到 更 大 型 的 应 用 中 。 


这 一 章 的 代码 已 发 布 到 GitHub 仓库 (https://github.com/using-docker/logging) 
a 
可 以 用 自己 的 镜像 来 奉 换 identidock 容器 。 

可 以 使 用 v6 标签 获取 这 一 章 开 始 时 的 代码 : 


$ git clone -b vO \ 
ee //github.com/using-docker/Logging/ 





续 的 标签 代表 代码 在 本 章 中 演变 的 各 个 阶段 。 


除 此 以 外 ， 也 可 以 在 GitHub 项 目的 Releases 页 面 (https://github.com/using- 
docker/logging/releases) 下 载 各 个 标签 的 代码 。 


那 


志 记 录 和 监控 的 解决 方案 数量 激增 。 现 有 的 监控 和 日 志 
始 提供 专门 的 容器 解决 和 集成 方案 。 本 章 会 尽量 介绍 各 种 已 有 的 选项 


志 记 
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10.1 志 记 录 


首先 来 看 一 下 Docker 默认 的 日 志 记 录 是 如 何 工 作 的 ， 然 后 我 们 会 尝试 将 一 个 完整 的 日 志 
记录 解决 方案 集成 到 identidock 中 ， 最 后 会 看 看 有 哪些 可 选 的 解决 方案 ， 和 
需要 考虑 到 的 问题 。 


10.1.1 Docker 默 认 的 日 志 记 录 


先 从 最 简单 的 方案 说 起 ， 那 就 是 Docker 自 带 的 方案 。 如 果 没 有 指定 任何 参数 或 安装 任何 
志 软 件 ， Docker 将 记录 所 有 发 送 到 sSTDOUT 和 STDERR 的 信息 。 之 后 日 志 可 以 通过 docker 
Logs 命令 取得 。 举 例如 下 : 


$ docker run --name logtest debian sh -c 'echo "stdout"; echo "stderr" >&2" 
stderr 

stdout 

$ docker logs logtest 

stderr 

stdout 


也 可 以 使 用 -t 参数 来 获取 时 间 惟 ; 


$ docker Logs -t Logtest 
2015-04-27T10:30:54.002057314Z stderr 
2015-04-27T10:30:54.005335068Z stdout 


还 可 以 使 用 -f 参数 ， 让 正在 运行 的 容器 不 停 输 出 日 志 : 


$ docker run -d --name streamtest debian \ 
sh -c 'while true; do echo "tick"; sleep 1; done;"' 
13aa6ee6406a998350781f994b23ce69ed6c38daa69c2c83263c863337a38ef9 
$ docker logs -f streamtest 
tick 
tick 
tick 
tick 
tick 
tick 





























还 可 以 利用 Docker 的 远程 API 达到 同样 效果 ， 它 让 使 用 程序 对 日 志 的 转发 和 处 理 操作 变 得 
可 能 。 如 果 你 正 使 用 Docker Machine， 可 以 执行 如 下 操作 : 


$ curl -i --cacert ~/.docker/machine/certs/ca.pem \ 
--Cert ~/.docker/machine/certs/ca.pem \ 
--key ~/.docker/machine/certs/key.pem \ 
"https://$(docker-machine ip default):2376/containers/\ 
s$(docker ps -Lq)/Logs?stderr=1&stdout=1" 
tick 





























十 





主 1: 有 关 远 程 API 的 更 多 信息 以 及 如 何 启用 它 ， 可 以 查看 官方 文档 (https://docs.docker.com/engine/reference/ 


api/docker_remote_api/) 














tick 
tick 


如 果 你 使 用 的 是 Mac OS， 那 么 要 注意 curl 的 行为 略 有 不 同 ， 而 且 你 需要 创建 一 个 同时 
包含 ca.pem 和 key.pem 的 证 书 。 关 于 这 方面 的 更 多 细节 参见 Open Solitude 博客 (http:/ 
opensolitude.com/2015/07/12/curl-docker-remote-api-os-x.html) 。 


默认 的 日 志 记录 有 一 些 缺 点 。 它 只 能 处 理 STDOUT 8 STDERR， 如 果 你 的 应 用 只 把 日 志 记 录 
到 文件 中 的 话 ， 那 么 就 有 问题 了 。 它 也 不 懂得 清理 日 志文 件 ， we nid 
yes ( 它 只 会 ee ey 

器 把 你 的 磁盘 上 所 有 可 用 空间 用 尽 。? 例如 : 


$ docker run -d debian yes 
ba054389b7266da0aa4e42300d46e9ce529e05fc4146fea2dff92cf6027edgc7 


0 可 以 提供 de ld lee 
志 记 录 方 法 可 以 在 启动 Docker 守护 进程 时 通过 --Log-driver 参数 变更 。 可 选 的 日 志 记 
录 方 法 有 下列 几 种 


json-file 

这 是 我 们 刚刚 看 过 的 默认 记录 方法 。 
syslog 

syslog 系统 日 志 了 驱动 ， 接 下 来 便 会 介绍 它 。 


journald 
这 个 驱动 使 用 的 是 systemd 的 journal 日 志 。 
gelf 

















Graylog Extended Log Format (GELF) 驱动 。 
fluentd 
将 日 志 信息 转发 到 fluentd (http:/www.fluentd.org/)。 
none 
关闭 日 志 记 录 。 
在 某 些 情况 下 ， 例 如 之 前 提 到 的 yes 例子 ， 关 闭 日 志 将 非常 有 用 。 





10:1.2” 日 志 汇 总 


不 管 使 用 哪 种 日 志 驱 动 ， 它 只 能 解决 部 分 需求 ， ee 统 。 我 们 想 要 做 的 
是 把 所 有 的 日 志 汇 总 到 同一 个 地 方 (日 志 有 可 能 是 跨 主机 的 )， 这 样 能 够 利用 工具 对 日 志 




















注 2: 是 的 ， 我 思春 到 碰 过 这 个 钉子 才学 会 
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进行 分 析 和 监控 。 
有 两 种 基本 方法 可 以 用 来 达到 这 个 目的 。 


(1) 在 所 有 的 容器 内 运行 多 一 个 进程 ， 这 个 进程 的 角色 相当 于 把 日 志 转 发 到 汇总 服务 的 代理 。 
(2) 在 主机 上 或 在 另 一 个 独立 的 容 嚣 中， 收集 日 志 并 转发 到 汇总 服务 。 


一 种 方法 是 可 行 的 ， 有 时 候 还 会 被 用 上 ， 但 它 会 使 镜像 变 大 ， 还 会 增加 多 余 的 运行 进 
全 因此 这 里 只 会 考虑 第 二 种 方法 。 


从 主机 访问 容器 日 志 有 几 种 方法 。 


(1) 可 以 通过 Docker API 以 编程 的 方式 访问 日 志 。 优 点 是 这 是 官方 所 支持 的 ， 缺 点 是 HTTP 
连接 将 导致 额外 的 开销 。 下 一 节 将 介绍 如 何 使 用 Logspout 来 这 样 做 。 

(2) 如果 使 用 syslog 系统 日 志 驱 动 ， 就 可 以 利用 syslog 自身 的 功能 来 自动 转发 日 志 ， 在 
10.1.4 节 下 的 辅助 栏 “使 用 rsyslog 转发 日 志 ” 中 将 有 所 介绍 

(3) 可 以 直接 从 Docker 目录 访问 日 志文 件 。 这 个 做 法 将 在 10.1.5 节 中 介绍 。 


如 果 你 使 用 的 应 用 程序 不 能 把 日 志 写 到 STDOUT 或 STDERR， 而 是 坚持 只 记录 到 文件 中 ， 可 以 
参考 10.1.3 节 的 说 明文 字 “ 如 何 处 理 把 日 志 记 录 到 文件 的 应 用 ”中 提 到 的 变通 方法 。 


10.1.3 ”使 用 ELK 进 行 日 志 记 录 


要 把 日 志 记录 的 功能 添加 到 我 们 的 identidock 应 用 中 ， 我 们 将 使 用 有 了 时候 被 称 为 ELK 的 组 
合 ，ELK 是 Elasticsearch、Logstash 和 Kibana 的 首 字母 缩写 。 



































Elasticsearch (https://github.com/elastic/elasticsearch) 
接近 实时 搜索 的 文本 搜索 引擎 。 为 了 能 够 应 付 大 量 数据 ， 它 的 设计 可 以 很 轻松 地 扩展 到 
多 个 节点 ， 非 常 适合 在 海量 日 志 数据 中 进行 搜索 。 

Logstash (https://github.com/elastic/logstash) 
这 个 工具 适合 读 取 原 始 日 志 ， 然 后 对 其 解析 和 过 诚 ， 再 把 结果 发 送 到 其 他 服务 ， 例 如 索 


引 或 存储 (在 我 们 的 例子 中 ，Logstash 会 把 结果 发 送 到 Elasticsearch) 。 它 广 泛 支持 不 同 
的 输入 和 输出 类 型 ， 并 备 有 适用 于 各 式 各 样 的 应 用 程序 日 志 的 解析 器 。 


Kibana ( https://github.com/elastic/kibana ) 
基于 JavaScript 的 Elasticsearch 图 形 界面 。 它 可 以 用 来 运行 Elasticsearch 的 查询 ， 并 以 
各 种 图 表 的 形式 显示 结果 。 它 还 提供 了 仪表 盘 的 功能 ， 使 用 户 对 系统 的 状态 一 目 了 然 。 


我 们 会 基于 上 一 章 的 prod.yml， 在 本 地 运行 这 个 组 合 。 最 里 想 的 设置 应 当 是 将 ELK 容器 
放 在 另 一 个 单独 的 主机 上 ， 以 保持 不 同 的 功能 之 间 清 晰 的 划分 。 第 11 章 将 会 讨论 如 何 实 
现 它 ， 但 为 了 简单 起 见 ， 这 一 章 我 们 会 把 所 有 东西 都 放 在 同一 台 主 机 上 运行 。 

现在 要 做 的 第 一 件 事 ， 就 是 要 先 弄 明白 怎样 把 Docker 的 日 志 发 送 到 Logstash。 为 此 ， 我 
们 将 使 用 一 个 名 为 Logspout (https://github.com/gliderlabs/logspout) 的 Docker 专用 工具 ， 






















































































注 3: 如 果 你 想 在 云端 运行 它 ， 那 就 去 做 吧 ， 不 过 你 可 能 会 发 现 需 要 升级 服务 器 才能 运行 所 有 服务 。 
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它 通过 Docker API 把 日 志 以 流 的 方式 从 运行 容器 传送 给 特定 的 端点 (类 似 用 于 Docker 
的 rsyslog)。 由 于 我 们 希望 使 用 Logstash 作为 端点 ， 我 们 还 需要 安装 logspout- Be 
(https://github.com/looplab/logspout-logstash) 这 个 适配器 ， 它 能 够 把 Docker 的 日 志 

为 Logstash 很 容易 就 能 读 取 的 格式 。Logspout 的 设计 尽 可 能 小 而 高 效 ， 使 它 能 够 以 最 少 的 
资源 运行 在 每 一 台 Docker 主机 上 。 为 了 实现 这 一 目标 ，Logspout 的 编程 语言 是 Go， 而 底 
层 则 I 用 了 体积 极 小 的 Alpine Linux 镜像 。 由 于 Logspout 的 默认 容器 不 包含 logstash 的 适 配 

器 ， 我 们 将 使 用 一 个 提前 准备 好 的 容器 。 

我 们 打算 部 署 的 整体 设置 如 图 10-1 所 示 ， 左 侧 容器 的 日 志 由 logspout 整理 ， 然 后 交 由 
Logstash 解析 和 过 小 ， 接 下 来 把 结果 放 进 Elasticsearch。 最 后 ，Kibana 用 于 对 Elasticsearch 


容器 中 的 数据 进行 可 视 化 及 研究 。 
Search 



































容器 
















已 解析 
和 过 滤 
的 日 志 














10-1: 使 用 Logspout 和 ELK 记录 容器 日 志 
首先 创建 一 个 包含 以 下 内 容 的 名 为 prod-with-logging.yml 的 新 文件 。 


proxy: 
image: amouat/proxy:1.0 
Links : 
- identidock 
ports: 
- "80:80" 
environment: 
- NGINX_HOST=45.55.251.164 @ 
- NGINX_PROXY=http://identidock:9090 
identidock: 
image: amouat/identidock:1.0 @ 
links: 
- dnmonster 
- redis 
environment: 
ENV: PROD 
dnmonster: 
image: amouat/dnmonster 
redis: 
image: redis 





logspout: 
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image: amouat/Logspout-Logstash 


VOLumes : 

- /var/run/docker.sock:/tmp/docker.sock © 
ports: 

- "8000:80" 四 


@ 把 这 里 的 人 地 址 换 成 你 的 主机 的 全 地 址 。 

@ 这 里 使 用 的 是 我 在 Docker Hub 上 的 identidock 镜像 ， 你 也 可 以 换 成 你 自己 的 版 本 。 

全 挂 载 Docker 的 套 接 字 ， 这 样 Logspout 就 可 以 连接 到 Docker 的 API。 

@ 为 了 可 以 查看 日 志 ， 我 们 把 Logspout 的 HITP 接口 公开 。 但 在 生产 环境 的 系统 中 千 万 
别 把 端口 暴露 出 来 。 

现在 ， 如 果 再 次 打开 应 用 程序 ， 应 该 能 够 连接 到 Logspout 的 HTTP 串 流 接口 : 


$ docker-compose -f prod-with-logging.yml up -d 























$ curL LocaLhost:8000/Logs 
在 浏览 器 中 打开 identidock， 你 应 该 可 以 在 终端 上 看 到 一 些 日 志 : 


Logging_proxy_1|192.168.99.1 - - [24/Sep/2015:11:36:53 +0000] "GET / HTTP/1.... 
Logging_identidock_1|[pid: 6|app: 0|req: 1/1] 172.17.0.14 () {40 vars in 660... 
logging_identidock_1|Cache miss 

logging_proxy_1|192.168.99.1 - - [24/Sep/2015:11:36:53 +0000] "GET /mon... 
logging identidock_1|[pid: 6|app: 0|req: 2/2] 172.17.0.14 () {42 vars in 788... 
logging identidock_1|[pid: 6|app: 0|req: 3/3] 172.17.0.14 () {42 vars in 649... 


太 棒 了 ， 这 部 分 看 来 已 经 可 以 正常 工作 ， 将 来 你 会 发 现 这 个 界面 非常 有 用 。 下 一 步 需要 将 
输出 发 送 到 有 用 的 地 方 ， 在 我 们 的 例子 中 是 Logstash 容器 。 请 注意 ， 在 一 个 多 主机 的 系 
统 中 ， 你 需要 在 每 台 主 机 上 运行 一 个 Logspout 容器 ， 它 会 负责 把 日 志 转 发 到 一 个 中 央 的 
Logstash 实例 。 现 在 就 来 把 Logstash 串联 起 来 。 你 需要 对 Compose 文件 进行 如 下 更 新 。 























Logspout : 
image: amouat/Logspout-Logstash 
VOLumes : 
- /var/run/docker.sock:/tmp/docker .sock 
ports : 
- "8000:80" 
Links : 
- Logstash ©@ 
command: Logstash://Logstash:5000 @ 
Logstash : 
image: Logstash 
volumes: 
- ./logstash.conf:/etc/logstash.conf © 
environment: 
LOGSPOUT: ignore @ 
command: -f /etc/Logstash.conf 


@ 添加 一 个 到 Logstash 容器 的 连接 。 
名 使 用 “logstash” 前 缀 告知 Logspout 在 输出 时 使 用 Logstash 模块 。 
全 把 Logstash 配置 文件 映射 进来 。 
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@ Logspout 不 会 对 任何 在 环境 变 
从 Logstash 容器 收集 日 志 ， 因 为 这 检 





志 信 ; 
生 一 个 新 的 错误 ， 这 个 过 程 就 会 
配置 文件 应 命名 为 logstash.conf， 并 包 


input { 

tcp { 
port => 5000 
codec => json 





0 


udp { 
port => 5000 
codec => json 
} 
} 


0 


output { 
stdout { codec => rubydebug } @ 
} 


@ 需要 使 用 json 编 解码 器 来 处 理 
@ 为 了 测试 ， 将 日 志 输 出 至 STDOUT。 


现在 把 程序 运行 起 来 ， 看 看 会 发 生 什 么 























$ docker-compose -f prod-with-logging. 


$ curl -s LocaLhost > /dev/null 


$ docker-compose -f prod-with-logging. 


Logstash_1 





量 中 设 定 了 LOGSPOUT 3 


变量 的 容器 收集 日 志 。 我 们 不 希望 























fF 做 有 导致 循环 的 风险 。 如 果 有 一 个 格式 错误 的 日 
盲 息 导致 Logstash 产生 错误 ， 而 这 个 错误 被 记录 到 日 志 中 并 被 送 回 
循环 不 断 。 


含 以 下 内 容 : 





Logstash， 从 而 产 





Logspout 的 输出 。 


yml up -d 


yml logs logstash 


| { 
Logstash_1 | "message" => "2015/09/24 12:50:25 Logstash: write uy... 
Logstash_1 | "docker .name" => "/logging_ logspout_ 1", 
Logstash_1 | "docker .id" => "d8f69d05123c43c9da7470951547b23ab32d4... 
Logstash_1 | "docker .image" => "amouat/logspout-logstash", 
Logstash_1 | "docker .hostname" => "d8f69d05123c" ， 
Logstash_1 | "@version" => "1", 
logstash_1 | "@timestamp" => "2015-09-24T12:50:25.708Z"， 
Logstash_1 | "host" => "172.17.0.11" 
logstash 1 | } 
你 应 该 会 看 到 一 些 像 前 面 一 样 的 Ruby 格式 的 代码 。 需 要 注意 的 是 ， 输 出 中 包含 了 一 些 如 




















容器 名 称 和 它 的 ID 之 类 的 字段 ， 它 们 都 是 由 Logspout 加 进来 的 。Logstash 首先 取得 JSON 


反共 把 它 消 化 后 ， 再 把 信息 

功能 还 有 很 多 ， 可 以 根据 需求 对 日 志 
其 他 服务 作 进 一 
中 ， 最 好 就 是 能 够 把 nginx 的 日 
置 文件 中 添加 一 个 filter (过 滤器 


以 Ruby 调试 的 格式 输出 。 但 我 们 可 以 用 到 的 Logstash 

行 过 滤 和 更 改 。 例 如 ， 你 可 
步 处 理 或 存储 之 前 ， 先 把 个 人 身份 信 
志 信 息 拆 分 成 其 组 成 部 分 。 要 这 样 做 的 话 ， 在 Logstash 配 
) 就 可 以 了 : 


能 希望 在 日 志 传 送 到 
息 或 敏感 信息 删除 。 而 在 我 们 的 例子 
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input { 


tcp { 
port => 5000 
codec => json 
} 
udp { 
port => 5000 
codec => json 
} 
J 
filter { 


if [docker.image] =~ /^amouat\/proxy.*/ { 
mutate { replace => { type => "nginx" } } 


grok { 
match => { "message" => "%{COMBINEDAPACHELOG}" } 
} 
} 
} 
output { 
stdout { codec => rubydebug } 
} 


这 个 过 滤器 检查 信息 是 否 来 自 名 为 amouat/proxy 的 镜像 。 如 果 是 的 话 ，Logstash 在 解析 信 
息 的 时 候 ， 就 会 使 用 现 有 的 COMBINEDAPACHEL0G 过 滤器 ， 在 输出 中 还 会 增加 一 些 额外 的 字 
段 。 当 你 添加 了 前 面 的 过 滤器 并 重新 启动 程序 后 ， 会 发 现 日 志 信 息 变 成 了 这 样 : 












































Logstash 1 | { 

logstash 1 | "message" => "87.246.78.46 - - [24/Sep/2015:13:02:... 
logstash 1 | "docker .name" => "/logging_ proxy_1", 
logstash 1 | "docker .id" => "5bffa4f4a9106e7381b22673569094be20e8... 
logstash 1 | "docker .image" => "amouat/proxy:1.0", 
logstash 1 | "docker .hostname" => "5bffa4f4a910", 

logstash 1 | "@version" => "1", 

logstash 1 | "@timestamp" => "2015-09-24T13:02:59.7512Z" ， 
logstash 1 | "host” -= .172,17.0.23., 

logstash 1 | "type" => "nginx", 

logstash 1 | "clientip" => "87.246.78.46"，, 

logstash 1 | "ident" => "-" 

logstash 1 | "auth"” => "-", 

logstash 1 | "timestamp" => "24/Sep/2015:13:02:59 +0000"，, 
logstash 1 | "verb" => "GET", 

logstash 1 | "request" => "/",， 

logstash 1 | "httpversion" => "1.1", 

logstash 1 | "response" => "200", 

logstash 1 | "bytes" => "266", 

logstash 1 | "referrer" => "\"-\"", 

logstash 1 | "agent" => "\"curl/7.37.1\"" 

logstash 1 | } 


可 以 看 到 ， 过 滤器 能 够 把 很 多 额外 信息 提取 出 来 ， 如 响应 代码 、 请 求 类 型 和 URL。 使 用 类 
似 的 技巧 ， 你 可 以 为 各 种 镜像 的 日 志 记 录 设 置 不 同 的 过 滤器 。 





Ey 


下 一 步 就 是 将 Logstash 容器 连接 到 Elasticsearch 容器 。 同 时 ， 也 会 加 上 Kibana 容器 ， 它 ; 
为 Elasticsearch 提供 界面 。 


把 Compose 文件 更 新 如 下 。 





Logspout : 
image: amouat/Logspout-Logstash 
VOLumes : 
- /var/run/docker.sock:/tmp/docker.sock 
ports : 
- "8000:80" 
Links : 
- Logstash 
Command: Logstash://Logstash:5000 


Logstash : 
image: Logstash:1.5 
VOLumes : 
- ./logstash.conf:/etc/logstash.conf 
environment: 
LOGSPOUT: ignore 
Links : 


- elasticsearch © 
command: -f /etc/Logstash.conf 


elasticsearch: 加 
image: elasticsearch:1.7 
environment: 
LOGSPOUT: ignore 


kibana: © 
image: kibana:4.0 
environment: 


LOGSPOUT: ignore 

ELASTICSEARCH_URL: http://elasticsearch:9200 
links: 

- elasticsearch 
ports: 

- "5601:5601" 


@ 添加 一 个 到 Elasticsearch 容器 的 连接 。 

@ 基于 Elasticsearch 的 官方 镜像 创建 容器 。 

加 创建 一 个 Kibana 4.0 容器 。 注 意 ， 我 们 添加 了 一 个 到 Elasticsearch 容器 的 连接 ， 并 打开 
端口 5601 作 界 面 访问 。 


我 们 还 需要 更 新 logstash.conf 文件 的 输出 部 分 ， 使 输出 导向 我 们 的 Elasticsearch 容器 : 





























output { 
elasticsearch { host => "elasticsearch" } © 
stdout { codec => rubydebug } @ 

} 
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@ 把 数据 以 Elasticsearch 能 够 理解 的 格式 输出 到 名 为 “elasticsearch” 的 远程 主机 。 
四 你 可 以 决定 现在 是 否 删除 这 一 行 ， 它 仅仅 是 用 于 调试 ， 而 且 它 的 信息 是 完全 重复 的 。 


现在 重新 启动 程序 ， 看 看 有 什么 变化 : 


$ docker-compose -f prod-with-logging.yml up -d 
Recreating logging_dnmonster_1... 

Recreating logging_redis 1... 

Recreating logging elasticsearch 1... 
Recreating logging_ kibana_1... 

Recreating logging_ identidock 1... 

Recreating logging_proxy_1... 

Recreating logging_logstash 1... 

Recreating Logging_Logspout 1... 


然后 在 浏览 器 中 打开 LocaLhost， 随 便 对 identidock 进行 一 些 操作 ， 使 我 们 的 日 志 栈 能 有 数 
据 以 供 分 析 。 准 备 就 绪 后 ， 可 以 在 浏览 器 中 打开 localhost:5601 来 访问 Kibana 程序 。 你 
应 该 会 看 到 类 似 图 10-2 的 画面 。 
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10-2: Kibana 配置 页 面 
选择 etimestamp 作为 time-field name 的 值 ， 然 后 点 击 “Create"。 你 应 该 会 看 到 一 个 
Elasticsearch 找到 的 所 有 字段 的 页 面 ， 其 中 包括 nginx 和 Docker 的 。 


如 果 现 在 点 击 “Discover”， 应 该 会 得 到 一 个 显示 日 志 量 柱状 图 的 页 面 ， 柱 状 图 的 下 面 
些 最 近 的 日 志 信息 ， 如 图 10-3 所 示 。 
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图 10-3: Kibana 的 Discover 页 面 





点 击 右 上 角 的 时 钟 图 标 就 能 轻松 地 更 改 时 间 段 。 日 志 可 以 通过 搜索 某 些 字 段 中 出 现 的 值 进 
行 过 滤 。 例 如 ， 堂 试 在 “message” 字 段 中 搜索 “Cache miss"， 可 以 得 到 在 某 时 间 段 内 组 
存 未 命中 的 柱状 图 。 更 高 级 的 图 表 和 可 视 化 分 析 可 以 通过 “Visualize” 标 签 页 生成 ， 包 括 
线 图 、 饼 图 ， 以 及 数据 表格 和 自 定 义 指 标 。 


Kibana 3 和 4 的 区 别 

如 果 你 使 用 的 Kibana 是 4.0 以 前 的 版 本 ， 你 必须 确保 浏览 器 可 以 访问 由 
Elasticsearch 容器 转发 到 主机 的 端口 。 这 是 由 于 Kibana 是 一 个 JavaScript 应 
用 ， 它 是 在 客户 端 那 边 运行 的 。 从 版 本 4 开始， 连接 是 通过 Kibana 作 代 理 ， 
因此 已 经 没有 这 个 要 求 了 。 
































这 一 章 并 不 打算 介绍 高 级 日 志 分 析 的 方方面面 ， 因 此 Kibana 的 介绍 就 到 此 为 止 。 总 而 
言 之 ，Kibana 和 类 似 的 解决 方案 提供 了 强大 和 高 度 可 视 化 的 方法 来 协助 调查 你 的 程序 和 
数据 。 

















日 志 存 储 和 管理 
无 论 你 最 终 使 用 哪 一 个 日 志 驱 动 和 分 析 工 具 ， 你 都 需要 决定 如 何 保存 日 志 以 及 保存 多 
长 时 间 。 如 果 你 从 来 没有 想 过 这 个 问题 ， 那 么 你 的 容器 很 可 能 正在 使 用 默认 的 日 志 记 
录 方 式 ， 它 会 慢 慢 地 把 所 有 硬盘 空 间 用 完 ， 直到 系统 崩 渍 。 
Linux 的 logrotate 工具 可 以 用 来 管理 日 志文 件 的 增长 。 通 常情 况 下 ,日 志文 件 会 被 分 
成 不 同 的 时 间 段 保存 下 来 ， 文件 会 在 特定 的 时 间 间隔 内 接 它们 的 先后 顺序 被 迁移 。 举 
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个 例子 ,除了 当前 的 日 志文 件 外 ,你 可 能 还 有 一 个 旧版 本 的 日 志文 件 ， 甚 至 还 有 比 这 
个 更 早 一 点 的 ， 以 此 类 推 。 为 了 节省 存储 空间 ， 旱 于 当前 的 旧版 本 的 日 志和 更 早 的 日 
志 都 会 被 压缩 。 每 天 ， 当 前 的 日 志文 件 会 被 改 为 旧版 本 ， 而 原来 的 旧版 本 的 日 志 将 会 
被 压缩 并 改 为 更 早 一 版 的 日 志 ， 以 此 类 推 ， 而 原先 最 早 的 日 志 会 被 删除 。 


上 述 步 又 用 以 下 的 logrotate 配置 就 能 做 到 ， 你 可 以 把 它 作 为 新 文件 保存 到 /etc/logrotate. 
d/ 目录 下 (例如 /etc/logrotate.d/docker) ， 或 者 把 内 容 添 加 到 /etc/logrotate.conf 中 : 


/var/lib/docker/containers/*/*.log { 
daily ©@ 

rotate 3 @ 

compress © 

delaycompress © 

missingok @ 

copytruncate © 

} 


@ 年 天 执行 日 志 迁 移 。 

@ 保存 3 个 日 志文 件 。 

图 指示 需要 压缩 日 志 ， 除 了 当前 和 最 近 的 日 志 以 外 。 

@ 即使 文件 不 存在 ，logrotate 也 不 会 报错 。 

加 不 会 移动 当前 的 日 志文 件 ， 而 是 先 复 制 它 ， 然 后 把 文件 内 容 彻底 删除 (把 大 小 设置 
为 0)。 这 是 为 了 确保 Docker 不 会 因 文 件 消失 而 不 高 兴 。 注 意 ， 在 文件 复制 和 删除 
内 容 之 间 ， 如 果 程 序 在 这 个 时 候 写 入 日 志 ， 那么 将 有 可 能 导致 数据 丢失 。 


你 可 能 发 现 logrotate 是 默认 由 cron 每 天 执行 一 次 任务 ; 如 果 你 希望 能 更 频繁 地 整理 日 
志 ， 那 就 需要 修改 cron 任务 。 


如 果 你 需要 更 持久 和 可 靠 的 日 志 存 储 ， 可 以 把 日 志 转 发 到 一 个 可 靠 的 数据 库 ， 如 
PostgreSQL。 在 Logstash 或 同样 的 工具 中 ， 可 以 轻松 地 把 它 加 上 ， 作 为 另 一 个 输出 。 
不 要 单纯 依靠 像 Elasticsearch 这 种 索引 方案 作为 存储 ， 因 为 它们 不 具备 和 PostgreSQL 
这 种 发 展 成 熟 的 数据 库 同 等 程度 的 容错 保证 。 记 住 ， 如 果 有 需要 的 话 ， 可 以 使 用 
Logstash 过 滤器 来 清除 个 人 身份 信息 这 类 数据 。 








如 何 处 理 把 日 志 记录 到 文件 的 应 用 

如 果 你 的 程序 不 是 把 日 志 写 到 STDOUT 或 STDERR， 而 是 记录 到 文件 中 的 
话 ， 仍 然 有 一 些 方法 可 以 使 用 。 如 果 你 已 使 用 Docker 的 API 来 处 理 日 志 
(例如 通过 Logspout 容器 )， 那 么 最 简单 的 办 法 就 是 运行 一 个 进程 (一般 是 
tail -F) 负责 把 文件 打印 到 STDOUT。 为 了 遵循 一 个 容器 只 运行 单一 进程 
的 哲学 ， 比 较 麻 亮 的 做 法 是 利用 另 一 个 容器 通过 --volumes-from 参数 挂 载 日 






































志文 件 。 
例如 ， 一 个 名 叫 “tolog” 的 容器 声明 /var/log 作为 它 的 数据 卷 ， 那 么 可 以 使 
用 以 下 命令 : 
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们 执行 日 志 收 集 器 ， 





$ docker run -d --name tolog-logger \ 


/dev/log/* 
如 果 你 不 喜欢 这 个 方法 ， 也 可 以 将 日 志 挂 载 到 主机 上 的 某 个 目录 ， 然 后 对 它 


--volumes-from tolog \ 
debian tail -F 


10.1.4 通过 syslog 实 现 日 志 管 理 


假如 你 的 Docker 主机 支持 syslog， 那 就 可 以 使 月 
机 上 的 syslog 进程 


$ ID=$(docker run 


$ tail 


Sep 
Sep 
Sep 
Sep 
Sep 
Sep 
Sep 
Sep 
Sep 
Sep 


@ 在 写作 本 


24 
24 
24 
24 
24 
24 
24 
24 
24 
24 








EE。 用 例子 来 说 明 就 会 很 清楚 。 




















-d --Log-driver=sysLog debian \ 


明 syslog 驱动 ， 


如 fuentd (http://www.fluentd.org/ )s 


它 能 


能 够 将 容器 日 志 





A 


送 到 主 


sh -c 'i=0; while true; do i=$((i+1)); echo "docker $i"; sleep 1; done;') 
$ docker logs $ID 
"logs" 


command is supported only for 


/var/log/syslog © 


10: 
10: 
10: 
10: 
10: 
10: 
10: 
10: 
10: 
10: 





L717: 
173 
7 
17: 
173 
47 
7: 
17: 
7 
ya 


45 
46 
47 
48 
49 
50 
51 
52 
53 
54 


reginald 
reginald 
reginald 
reginald 
reginald 
reginald 
reginald 
reginald 
reginald 
reginald 


路 径 可 能 会 不 一 样 。 


syslog 文 从 





息 。 由 于 日 志 


令 来 查找 有 关 某 个 





包含 容器 


docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 


F 中 虽然 含有 来 自 这 个 容器 的 消息 ， 但 它 还 会 包含 
:消息 里 


的 ID (以 短 格式 记录 )， 因 





容器 的 消息 : 


$ grep ${ID:0:12} /var/log/syslog © 


Sep 
Sep 
Sep 
Sep 
Sep 
Sep 
Sep 
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24 
24 
24 
24 
24 
24 


10: 
10 : 
10 : 
10 : 
10 : 
10 : 


0:16: 

16: 
1 
17: 
47 
17: 
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58 
59 
00 
01 
02 
03 
04 


reginald 
reginald 
reginald 
reginald 
reginald 
reginald 
reginald 


docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 
docker/181b6d654000[3594]: 





@ 记录 到 日 志 的 DD 是 短 格式 ， 





tH 











docker 
docker 
docker 
docker 
docker 
docker 
docker 
docker 
docker 
docker 





"json-file" logging driver (got: 


48 
49 
50 
S541 
52 
53 
54 
55 
56 
57 


忆 的 时 候 ，docker logs 命令 仅 适用 于 默认 的 日 志 记 录 方 式 。 
@ 在 我 的 Ubuntu 主机 上 ，docker 的 日 志 都 被 发 送 到 /var/log/syslog。 


其 他 系统 服务 和 其 他 


Pr D9 


合 了 三 


syslog) ©@ 


其 他 Linux 发 行 版 的 


的 消 


此 我 们 可 以 很 容易 地 利用 grep 命 


docker 
docker 
docker 
docker 
docker 
docker 
docker 


OUWUAWDPp 


此 只 需 使 用 完整 ID 的 前 12 个 字符 。 
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Docker 事件 API 
除了 容器 和 Docker 守护 进程 的 日 志 外 ， 还 有 另 一 组 数据 你 可 能 也 希望 监控 并 对 它 作 
出 反应 ， 那 就 是 Docker 事件 。 在 Docker 容器 的 生命 周期 中 ， 大 部 分 阶段 中 发 生 的 
事件 都 会 被 记录 下 来 。 这些 事件 包括 create、destroy、die、export、kill、pause、 
attach、restart、start、stop， 以 及 unpause。 它 们 当中 大 部 分 的 意思 应 该 都 不 言 
自明 ， 但 要 注意 die 在 容器 退出 时 发 生 ， 而 destroy 则 是 在 容器 被 删除 时 发 生 ( 即 
docker rm 被 调用 时 )。 图 10-4 显示 的 是 容器 生命 周期 的 图 表 。 


已 删除 docker docker 
create run 


docker rm 


重启 《是 否 应 否 
策略 重启? 


























内 存 不 足 内 存 不 ar ram 





足 被 终止 





图 10-4: Docker 生命 周期 [参照 Docker 官方 文档 (https:/docs.docker.com/engine/reference/ 


api/docker_remote_api/) 绘制 ,原作 者 为 Gilder Labs 的 Matt Good, 以 CC-BY-SA 4.0 
许可 证 (https://creativecommons.org/licenses/by-sa/4.0/) 发 布 ] 











关于 镜像 的 事件 有 untag 和 deLete。 当 标签 被 删除 时 ， 即 docker rmi 命令 成 功 执行 
后 ，untag 事件 就 会 发 生 。 当 镜像 被 删除 时 ，delete 事件 便 会 发 生 (docker rmi 命令 
不 一 定 会 引发 这 个 事件 ， 因 为 镜像 可 能 有 多 个 标签 )。 时 间 稚 会 以 RFC 3339 (https:/ 
www.ietf.org/rfc/rfc3339.txt) 格式 显示 。 

可 以 通过 docker events 命令 来 查看 事件 : 


$ docker events 


2015-09-24T15:23:28.000000000+01:00 44fe57bab...: (from debian) create 
2015-09-24T15:23:28.000000000+01:00 44fe57bab...: (from debian) attach 
2015-09-24T15:23:28.000000000+01:00 44fe57bab...: (from debian) start 

2015-09-24T15:23:28.000000000+01:00 44fe57bab...: (from debian) die 


由 于 docker events 命令 的 输出 是 一 个 流 ， 你 需要 先 在 另 一 个 终端 里 执行 一 些 Docker 
命令 ， 然 后 才能 够 看 到 它 输出 一 些 结果 。docker events 命令 还 接受 一 些 参数 ， 用 于 
过 滤 结 果 和 榨 制 返回 结果 的 时 间 段 。 可 用 于 过 滤 的 条 件 包 括 容 器 、 镜 像 和 事件 。 参 
数 中 使 用 的 时 间 惟 必须 遵循 RFC 3339 的 格式 〈 例 如 “2006-01-02T15:04:05.00000000 
02Z07:00”) ， 或 给 出 从 Unix epoch 开始 过 了 多 少 秒 (例如 “1378216169”)。 


当 你 希望 对 容器 事件 能 够 自动 作出 反应 时 ，Docker 的 事件 API 就 能 派 上 用 场 。 例 如 ， 
Logspout 程序 通过 API 知道 容器 何 时 启动 ， 从 而 开始 转发 容器 日 志 。9.2 节 的 “强大 
的 配置 文件 生成 工具 ”中 曾经 提 到 过 由 Jason Wilder 创作 的 nginx-proxy， 当 容器 启动 
时 ， 它 通过 事件 API 来 实现 自动 负载 均衡 。 此 外 ， 你 也 可 以 简单 地 把 数据 记录 下 来 ， 
对 容器 的 生命 周期 进行 分 析 。 

















为 了 改善 我 们 的 方案 ， 可 以 告诉 syslog 把 Docker 的 日 志 记 录 在 一 个 单独 的 文件 中 。Docker 
会 将 日 志 写 到 syslog 中 称 为 “daemon” 功 能 (facility) 的 类 别 中 ， 这 个 syslog 机 制 可 以 让 
你 很 轻松 地 把 所 有 守护 进程 的 消息 写 到 同一 个 文件 里 ， 但 要 是 把 只 属于 Docker 的 消息 单 
独 筛选 出 来 存储 的 话 ， 就 要 费 点 工夫 。 ” 如果 你 的 rsyslog 版 本 是 7 或 以 上 (这 个 可 能 性 很 
高 )， 可 以 使 用 以 下 这 个 规则 : 


:syslogtag,startswith,"docker/" /var/log/containers.log 


它 会 把 所 有 Docker 容器 的 消息 全 部 放 在 /var/log/containers.log。 你 需要 把 这 个 规则 写 到 
rsyslog 的 配置 文件 中 。 至 少 在 Ubuntu 上 ， 可 以 创建 一 个 新 文件 /etc/rsyslog.d/30-docker. 
conf 并 把 规则 写 在 里 面 。 重 启 syslog 后 , 日志 便 会 出 现在 这 个 新 文件 中 : 


$ sudo service rsyslog restart 
rsyslog stop/waiting 
rsyslog start/running, process 15863 
$ docker run -d --log-driver=syslog debian \ 
sh -c 'i=0; while true; do i=$((i+1)); echo "docker $i"; sleep 1; done;' 
$ cat /var/log/containers.log 
Sep 24 10:30:46 reginald docker/1a1a57b885f3[3594]: docker 1 
Sep 24 10:30:47 reginald docker/1a1a57b885f3[3594]: docker 2 





























注 4: 本 来 应 该 很 容易 才 对 ， 但 syslog 有 些 部 分 似乎 还 停留 在 20 世纪 80 年 代 …… 
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Sep 24 10:30:48 reginald docker/1a1a57b885f3[3594]: docker 3 
Sep 24 10:30:49 reginald docker/1a1a57b885f3[3594]: docker 4 
Sep 24 10:30:50 reginald docker/1a1a57b885f3[3594]: docker 5 
Sep 24 10:30:51 reginald docker/1a1a57b885f3[3594]: docker 6 
Sep 24 10:30:52 reginald docker/1a1a57b885f3[3594]: docker 7 


但 现在 相同 的 日 志 消 息 也 会 被 保存 到 其 他 的 日 志文 件 中 (例如 /var/log/syslog)。 为 了 禁止 
这 个 行为 ,需要 在 我 们 的 规则 后 面 加 上 &stop， 像 这 样 : 


:syslogtag,startswith,"docker/" /var/log/containers.log 
&stop 











syslog 与 Docker Machine 虚拟 机 

当 我 还 在 写 这 本 书 的 上 时候， 由 Docker Machine 所 部 署 的 boot2docker 虚拟 机 
并 未 默认 运行 syslog。 为 了 测试 syslog， 你 可 以 登录 虚拟 机 并 运行 syslogd。 
例如 : 


$ docker-machine ssh default 








docker@default:~$ syslogd 
要 使 这 个 改变 永久 化 ， 可 以 修改 boot2docker 虚拟 机 中 的 /var/lib/boot2docker/ 
bootsync.sh 脚本 文件 来 让 它 执行 syslogd， 虚 拟 机 会 在 启动 Docker 之 前 执行 
这 个 脚本 。 例 如 : 


$ docker-machine ssh default 











docker@default:~$ cat /var/lib/boot2docker/bootsync.sh 

#!/bin/sh 

syslogd 
注意 ，boot2docker 虚拟 机 使 用 busybox 默认 的 syslog 实现 ， 但 它 不 如 rsyslogd 
灵活 。 


在 启动 守护 进程 时 加 上 --log-driver=syslog 参数 ， 便 能 把 syslog 设置 为 Docker 容器 的 默 
认 日 志方 式 (一 般 是 通过 修改 Docker 服务 的 配置 文件 ， 壁 如 在 Ubuntu 上 便 可 以 把 参数 添 
加 到 /etc/default/docker 中 的 DOCKER_OPTS ) 。 


使 用 rsyslog 转 发 日 志 

我 们 还 可 以 告诉 rsyslog 把 日 志 转 发 到 另 一 台 服 务 器 上 ， 而 不 是 存储 在 本 地 。 这 样 做 就 可 以 
为 那些 负责 集中 处 理 日 志 的 服务 提供 日 志 ， 例 如 Logstash 或 另 一 台 syslog 服务 器 ， 好 处 是 
避免 了 使 用 如 Logsponut 服务 的 额外 开销 。 

要 在 我 们 的 identidock 范例 中 把 Logspout 替换 成 rsyslog， 需 要 修改 Logstash 的 配置 ， 让 
它 准 备 接受 来 自 syslog 的 输入 ， 而 且 从 主机 上 转发 一 个 用 于 与 rsyslog 通信 的 端口 到 
Logstash， 并 告诉 rsyslog 通过 网 络 传送 日 志 ， 而 不 是 保存 到 文件 。 

首先 需要 重新 配置 Logstash， 把 它 的 配置 文件 进行 如 下 修改 。 
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input { 
syslog { 
type => syslog 
port => 5544 
} 
} 


filter { 
if [type] == "syslog" { 
syslog_ pri { } 
date { 
match => [ "syslog_ timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] 
} 
} 
} 


output { 
elasticsearch { host => "elasticsearch" } 
stdout { codec => rubydebug } 

} 


现在 需要 修改 rsyslog 的 配置 。 配 置 和 之 前 几乎 一 模 一 样 ， 只 不 过 不 再 指定 /var/log/ 
containers.log 文件 ， 而 是 使 用 eeLocatLhost:5544 这 样 的 语法 。 例 如 : 


:syslogtag,startswith,"docker/" @@localhost:5544 
&stop 


它 的 意思 是 告诉 rsyslog 把 日 志 通 过 TCP 发 送 到 本 地 的 5544 端口 。 如 果 要 使 用 UDP， 只 
需 一 个 @ 即 可 。” 


配置 的 最 后 一 步 便 是 改写 Compose 文件 。 在 改写 之 前 ， 最 好 先 停止 任何 正在 运行 的 
identidock 实例 : 











$ docker-compose -f prod-with-logging.yml stop 


现在 可 以 放心 地 把 Logspout 从 Compose 文件 中 移 除 ， 并 且 在 主机 上 发 布 一 个 能 让 rsyslog 
与 Logstash 通信 的 端口 : 


Logstash : 
image: Logstash:1.5 
VOLumes : 
- ./logstash.conf:/etc/logstash.conf 
environment: 
LOGSPOUT: ignore 
Links : 
- elasticsearch 
- "127.0.0.1:5544:5544" @ 
Command: -f /etc/Logstash.conf 


elasticsearch: 





注 5: 这 个 语法 够 隐 上 的 吧 ! 
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image: elasticsearch:1.7 
environment: 
LOGSPOUT: ignore 


kibana: 

image: kibana:4.1 
environment: 

LOGSPOUT: ignore 

ELASTICSEARCH_URL: http://elasticsearch:9200 
Links : 

- elasticsearch 
ports : 

"5601:5601" 


@ 发 布 5544 端口 。 端 口 只 绑 定 到 127.0.0.1 之 上 ， 因 此 只 允许 本 机 与 端口 连接 ， 而 网 络 
上 的 其 他 机 器 则 不 能 。 


最 后 一 步 就 是 重启 rsyslog 和 identidock。 现 在 可 以 看 到 ， 日 志 已 经 通过 rsyslog 发 送 到 
Logstash， 而 不 是 使 用 速度 较 慢 的 Logspout 方法 。 虽 然 我 们 还 要 配置 过 滤器 ， 才 能 获得 与 
Logspout 之 前 取得 的 一 样 的 信息 ， 并 将 其 转发 到 Logstash， 不 过 利用 rsyslog 续 发 日 志 却 是 
一 个 非常 有 效 和 可 靠 的 解决 方案 。 





























受 保障 的 日 志 记 录 
无 论 你 是 否 意 识 到 这 一 点 ， 尖 设计 你 的 日 志 记录 架构 时 ， 你 是 在 效率 和 百分之百 的 准 
确 性 及 可 靠 性 之 间作 取舍 。 如 果 你 的 日 志 只 是 用 于 调试 和 监控 ， 那么 只 需 选 择 一 个 你 
认为 最 简单 的 方案 就 可 以 了 。 但 是 ， 如 果 有 一 些 日 志 信息 在 发 生 之 后 必须 立即 发 出 警 
报 ， 或 者 为 了 遵循 核查 的 政策 而 必须 保证 日 志 完 整 无 缺 ， 那 么 一 定 要 考虑 清楚 你 的 日 
志 架 构 中 各 个 连接 部 分 的 性 质 及 保障 程度 。 


下 面 是 一 些 你 需要 考虑 的 重点 。 


。 传送 日 志 时 使 用 什么 传输 协议 ?虽然 UDP 速度 较 快 ， 但 就 可 靠 程度 而 言 ， 它 能 够 
提供 的 保障 的 可 靠 度 比 TCP 要 低 (不 过 TCP 也 不 能 保证 是 可 靠 的 ) 。 

。 网 络 中 断后 将 会 发 生 什么 事情 ? 很 多 工具 (包括 rsyslog) 都 有 在 远程 服务 器 能 够 重 
新 连接 之 前 先 暂时 缓冲 信息 的 配置 选项 。 

。 如 何 存储 和 备份 日 志 信 息 ? 与 文件 系统 相 比 ， 数 据 库 能 够 提供 更 高 的 可 靠 性 和 更 有 
力 的 容错 保障 。 

在 考虑 以 上 各 点 的 时 候 ， 还 需要 一 并 考虑 上 日志 的 安全 性 ; 你 的 日 志 很 可 能 包含 敏感 信 

因此 访问 权 的 控制 非常 重要 。 人 日 志 必 0 
且 只 有 合适 的 人 群 才 可 以 访问 已 保存 的 日 志 。 

















10.1.5 ”从 文件 抓 取 日 志 


转发 日 志 的 lt 系统 中 的 原始 日 志 。 如 果 你 使 用 的 是 默认 的 日 志 
记录 方式 ， 目 前 Docker 把 容器 的 日 志文 件 保 存在 /var/lib/docker/container/<container id>/< 
container 1d>-json.log。 
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直接 从 文件 获取 日 志 是 个 很 有 效率 的 做 法 ， 但 缺点 是 它 依赖 于 Docker 内 部 如 何 实现 ， 而 
并 非 透 过 公开 的 API。 出 于 这 个 原因 ， 当 Docker 引擎 更 新 后 ， 基 于 这 个 方法 的 日 志方 案 很 
可 能 再 也 不 能 工作 。 


10.2 ”监控 和 警报 


在 微服 务 系统 中 ， 你 可 能 有 几 十 、 几 百 甚 至 几 千 个 正在 运行 的 容器 。 因 此 ， 为 了 监控 运行 
中 的 容器 和 系统 整体 的 状态 ， 你 能 得 到 的 帮助 越 多 越 好 。 一 个 优秀 的 监控 方案 应 该 能 够 一 
目 了 然 地 显示 系统 的 运行 状况 ， 并 在 资源 不 足 时 提前 发 出 警告 (如 磁盘 空间 、CPU 和 内 
存 )。 我 们 也 希望 在 发 生 任何 状况 的 时 候 能 够 收 到 警报 〈 例 如， 如 果 处 理 请 求 所 需 的 时 间 
变 为 几 秒 或 更 长 )。 


10.2.1 使 用 Docker 工 具 进 行 监测 


Docker 自 带 一 个 基本 的 命令 行 工具 ， 名 为 docker stats， 能 够 返回 一 个 资源 使 用 情况 的 实 
时 流 。 这 个 命令 接受 一 个 或 多 个 容器 名 称 作为 参数 ， 并 打印 各 种 关于 这 些 容器 的 统计 数 
据 ， 与 Unix 程序 top 很 类 似 。 例 如 : 

$ docker stats Logging_Logspout_1 


CONTAINER CPU % MEM USAGE/LIMIT MEM % NET I/0 
logging logspout 1 0.13% 1.696 MB/2.099 GB 0.08% 4.06 kB/9.479 kB 


统计 数据 包含 CPU 和 内 存 的 使 用 率 ， 以 及 网 络 的 利用 率 。 需 要 注意 的 是 ， 除 非 你 对 容器 
设置 了 内 存 限制 ， 否 则 你 看 到 的 内 存 限制 是 主机 的 内 存 总 量 ， 而 不 是 容器 的 可 用 内 存量 。 


获取 所 有 运行 中 容器 的 统计 数据 
在 大 部 分 时 候 ， 你 会 希望 能 够 获取 主机 上 所 有 运行 中 容器 的 统计 数据 (我 认为 
这 应 该 是 个 默认 行为 )。 要 做 到 这 一 点 ， 只 需要 一 点 shell 脚本 技巧 就 可 以 了 。 


$ docker stats \ 
$(docker inspect -f {{.Name}} $(docker ps -q)) 

CONTAINER CPU % MEM USAGE/LIMIT 
/Logging_dnmonster_1 0.00% 57.51 MB/2.099 GB 
/logging elasticsearch 1 0.60% 337.8 MB/2.099 GB 
/Logging_identidock_1 0.01% 29.03 MB/2.099 GB 
/logging_ kibana_1 0.00% 61.61 MB/2.099 GB 

0 

0 

0 















































/logging_ logspout_1 .14% 1.7 MB/2.099 GB 
/logging_logstash_1 .57% 263.8 MB/2.099 GB 
/Logging_proxy_1 .00% 1.438 MB/2.099 GB 
/logging_redis_1 .14% 7.283 MB/2.099 GB 
首先 docker ps -9 命令 用 来 获取 所 有 运行 中 容器 的 ID， 以 此 作为 docker 
inspect -f {{.Name}} 的 输入 ， 它 会 把 ID 转换 成 名 称 ， 继 而 用 作 docker 
stats 的 输入 。 


© 


若 使 用 得 当 ， 这 个 命令 会 很 有 用 ， 同 时 还 意味 着 Docker 可 能 已 有 一 个 能 够 给 程序 获取 这 
方面 统计 数据 的 API。 这 个 API 确实 存在 ， 你 可 以 调用 /containers/<id>/stats 这 个 端点 
来 获得 容器 上 各 种 统计 的 输出 流 ， 它 比 命令 行 得 到 的 结果 更 详细 。 但 是 这 个 API 却 不 太 灵 
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活 ， 它 的 输出 要 么 是 每 秒 更 新 一 次 ， 要 么 只 能 输出 一 次 后 便 结 束 ， 并 没有 选项 来 控制 输出 
的 频率 或 对 输出 进行 过 姜 。 这 意味 着 通过 这 个 统计 数据 的 API 进行 连续 的 监控 ， 对 你 来 讲 
开销 太 大 ;尽管 如 此 ， 它 对 一 些 临 时 的 查询 和 调查 仍然 有 用 。 


大 部 分 Docker 发 布 的 各 种 指标 也 可 以 通过 Linux 内 核 的 CGroups 及 命名 空间 直接 获取 ， 
有 各 种 不 同 的 程序 库 和 工具 能 够 提供 这 个 功能 ， 包 括 Docker 的 runc 库 (https://github. 
comy/opencontainers/runc) 在 内 。 如 果 需 要 监控 某 个 特定 数据 ， 可 以 通过 runc 或 直接 调用 
内 核 函 数 来 实现 一 个 高 效 的 方案 。 你 需要 使 用 一 个 允许 调用 底层 内 核 函数 的 编程 语言 ， 例 
如 Go 或 C。 实 现 的 时 候 有 一 些 陷阱 必须 注意 ， 壁 如 如 何 避 免 更 新 数据 时 fork 出 新 的 进 
程 。Docker 网 站 上 的 “Runtime Metrics” (https://docs.docker.com/engine/admin/runmetrics/) 
这 篇 文章 对 如 何 实现 有 所 解说 ， 并 且 深 入 讲解 了 有 哪些 指标 数据 能 够 从 内 核 获取 。 一 旦 
得 到 所 需 的 数据 ， 你 应 该 会 对 以 下 工具 感 兴 趣 : 用 于 汇总 及 计算 指标 的 statsd (https:// 
github.com/etsy/statsd) ;用 于 存储 的 InfluxDB (http://influxdb.com/) 及 OpenTSDB (http:// 
opentsdb.net) ; 用 于 展示 数据 的 Graphite (http://graphite.readthedocs.org) 及 Grafana 
(https://github.com/grafana/grafana) 。 




















利用 Logstash 进行 监控 和 发 布 警报 

虽然 Logstash 原本 是 一 个 日 志 记录 工具 ， 但 值得 注意 的 是 ，Logstash 还 能 够 
提供 一 定 程度 的 监听 功能 ， 而 日 志 本 身 是 一 个 很 重要 的 监控 对 象 。 

例如 ， 你 可 以 检查 nginx 中 的 状态 码 ， 当 发 现 接收 到 大 量 500 状态 码 时 ， 就 
自动 以 电子 邮件 或 短信 方式 发 出 警报 。Logstash 对 很 多 常用 的 监控 方案 都 备 
有 合适 的 输出 模块 ， 其 中 包括 Nagios、Ganglia 和 Graphite。 














大 多 数 情况 下 ， 你 应 使 用 现 有 的 工具 来 收集 和 汇总 数据 ， 并 以 可 视 化 方式 展示 结果 。 关 于 
这 方面 的 功能 ， 市 面 上 已 经 有 很 多 商用 的 解决 方案 ， 但 本 书 将 探讨 主流 的 开源 方案 以 及 专 
门 为 容器 创造 的 解决 方案 。 




















10.2.2 cAdvisor 
谷歌 的 cAdvisor (Container Advisor 的 缩写 ) 是 最 常用 的 Docker 监控 工具 。 它 对 主机 上 运 
行 的 容器 以 图 形 化 的 方式 展示 资源 使 用 情况 及 性 能 指标 的 总 览 。 


由 于 cAdvisor 本 身 以 容器 提供 ， 我 们 瞬间 就 能 够 把 它 运 行 起 来 。 按 照 以 下 的 命令 和 参数 就 
能 启动 cAdvisor: 


Ur 


docker run -d \ 

--name cadvisor \ 

-Vv /:/rootfs:ro \ 

-Vv /var/run:/var/run:rw \ 

-Vv /sys:/sys:ro \ 

-v /var/lib/docker/:/var/lib/docker:ro \ 
-p 8080:8080 \ 

google/cadvisor:latest 


如 果 你 的 主机 使 用 红 帽 (或 CentOS)， 你 还 需要 加 上 --volume=/cgroup:/cgroup 参数 来 挂 
载 cgroup 的 文件 夹 。 
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当 容 器 启动 后 ， 在 浏览 器 中 打开 http://localhost:8080。 你 应 该 看 到 一 个 类 似 图 10-5 的 网 页 ， 
其 中 有 很 多 不 同 的 图 表 。 点 击 “Docker Containers” 链 接 ， 然 后 点 击 感 兴趣 的 容器 名 称 ， 
便 能 够 查看 该 容器 的 详细 信息 。 


























Total Usage 


2.0 
1.5 
10 
os 九 
0.0 
4:26:50 PM 4:27:00 PM 4:27:10 PM 4:27:20 PM 4:27:30 PM 4:27:40 PM 
国 Total 


Usage per Core 








Usage Breakdown 
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图 10-5: cAdvisor 中 关于 CPU 使 用 率 的 图 表 


cAdvisor 能 够 汇总 和 处 理 各 种 统计 数据 ， 其 他 人 可 以 通过 REST API 获取 ， 方 便 进一步 的 
处 理 和 存储 。InfluxDB 是 专 为 存储 和 查询 时 间 序 列 数据 而 设计 的 数据 库 ， 例 如 指标 或 统计 
分 析 等 数据 。 在 cAdvisor 的 路 线 图 中 提 到 一 些 功能 ， 包 括 如 何 提 升 和 调整 容器 性 能 ， 以 及 
为 集群 编排 和 调度 工具 提供 使 用 情况 的 预测 信息 。 


10.2.3 ”集群 解决 方案 


cAdvisor 很 不 错 ， 但 它 只 能 针对 一 台 主 机 工作 。 如 果 你 运行 的 是 一 个 庞大 的 系统 ， 那 么 你 
希望 能 够 得 到 的 统计 数据 不 只 是 每 台 主 机 本 身 的 ， 还 应 该 包括 横 跨 所 有 主机 的 数据 。 有 了 时 
候 你 想 了 解 关 于 一 组 容器 运行 状况 的 数据 ， 该 组 容器 可 能 代表 一 些 子 系 统 ， 或 多 个 容器 实 
例 中 的 某 个 功能 。 例 如 ， 你 可 能 想 查看 所 有 nginx 容器 的 内 存 使 用 量 ， 或 者 一 组 正在 运行 
数据 分 析 的 容器 的 CPU 使 用 率 。 由 于 这 种 指标 往往 与 特定 的 应 用 程序 和 问题 相关 ， 一 套 
好 的 解决 方案 应 具备 一 个 可 用 于 构建 新 指标 和 图 表 的 查询 语言 。 

谷歌 已 经 开发 出 一 套 建立 在 cAdvisor 之 上 的 集群 监控 解决 方案 ， 称 为 Heapster。 但 在 本 书 
编写 的 时 候 ， 它 只 能 支持 Kubernetes 和 CoreOS， 因 此 不 会 对 它 多 作 讨 论 。 

接 下 来 准备 介绍 的 是 Prometheus， 它 是 由 SoundCloud 开发 的 一 个 开源 集群 监控 解决 方案 ， 
能 够 接受 众多 不 同 的 来 源 作为 输入 ， 其 中 包括 cAdvisor。 它 的 目的 是 要 支持 大 型 的 微服 务 
架构 系统 ， 目 前 已 在 SoundCloud 和 Docker 公司 正式 使 用 。 

Prometheus 

Prometheus (http://prometheus.io) 的 工作 原理 比较 特别 ， 因 为 它 在 基于 主动 读 取 (pull) 的 
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模式 上 运行 。 它 假设 应 用 程序 本 身 开 放 了 用 于 获取 统计 数据 的 接口 ， 然 后 由 Prometheus 服 
务 器 读 取 ， 而 不 是 把 数据 直接 发 送 给 Prometheus。Prometheus 的 界面 可 用 于 查询 数据 ， 并 
能 够 以 交互 方式 绘制 图 表 ， 而 另外 提供 的 PromDash 可 用 于 将 图 形 、 图 表 和 量 表 保 存 到 
仪表 盘 。Prometheus 还 有 一 个 称 为 Alertmanager 的 组 件 ， 能 够 汇集 和 拦截 警报 ， 并 把 它 
们 转发 到 通知 服务 ， 可 以 是 电子 邮件 ， 也 可 以 是 专门 的 服务 ， 如 PagerDuty (http://www. 
pagerduty.com) 和 Pushover (https:/Wpushover.net ) 。 


下 面 来 看 看 怎样 把 Prometheus 集成 到 identidock。 虽 然 我 们 不 打算 添加 任何 特殊 指标 ， 但 
只 需 在 代码 中 使 用 它 所 提供 的 Python 客户 端 程序 库 就 能 轻松 做 到 。 


接 下 来 要 做 的 是 把 Prometheus 连接 到 我 们 的 cAdvisor 容器 。 我 们 也 可 以 利用 container- 
exporter (https://github.com/docker-infra/container_exporter) 项 目 ， 它 采用 的 也 是 Docker 的 
libcontainer 库 。 如 果 你 的 cAdvisor 容器 还 在 运行 ， 那 么 可 以 在 /metrics 接口 看 到 它 开放 
给 Prometheus 的 指标 : 


$ curL localhost:8080/metrics 

# HELP container_cpu_system seconds_ total Cumulative system cpy time consume... 
# TYPE container_cpu_system seconds_ total counter 

container_cpu_system_ seconds_total{id="/",name="/"} 97.89 
container_cpuyu_system_seconds_total{id="/docker",name="/docker"} 40.66 
container_cpy_system_seconds_total{id="/docker/071c24557187c14fb7a2504612d4c... 
container_cpy_system_seconds_total{id="/docker/1ala57b885f33d2e16e85cee7f138... 

































































启动 Prometheus 容器 非常 简单 ， 但 必须 先 创 建 一 个 配置 文件 。 首 先 把 以 下 内 容 保存 到 
prometheus.conf 文件 : 
global: 
scrape_intervaL: In ©@ 


scrape_timeout: 10s 
evaluation_interval: 1m 


scrape_configs: 


- job_name: prometheus 
scheme: http @ 
target_groups : 

- targets: 
- "cadvisor:8080 
- 'localhost:9090' © 


告诉 Prometheus 每 隔 5 秒 获取 统计 数据 一 次 ，5 秒 可 以 说 是 一 个 比较 高 的 数值 。 在 生产 
环境 中 ， 抓 取 数 据 是 一 个 成 本 ， 旧 数据 则 是 另 一 个 你 要 承担 的 成 本 ， 你 所 选取 的 时 间 间 
隔 必须 在 这 两 个 成 本 之 间 取 得 平衡 。 
@ 告诉 Prometheus 抓 取 cAdvisor 数据 的 URL (我 们 将 使 用 Docker 连接 来 设置 主机 名 )。 
加 在 9090 端口 抓 取 Prometheus 本 身 的 指标 数据 。 


用 下 面 的 命令 启动 Prometheus 容器 : 


$ docker run -d --name prometheus -p 9090:9090 \ 
-v $(pwd)/prometheus.conf:/prometheus.conf \ 











--Link cadvisor:cadvisor \ 


prom/prometheus -config.file=/prometheus.conf 


现在 你 应 该 能 够 在 http://localhost:9090 打开 Prometheus。 主 页 会 显示 一 些 Prometheus 
的 配置 信息 ， 以 及 它 正在 抓 取 的 数据 的 端点 状态 。 在 “Graph” 标 签 页 中 ， 你 可 以 对 


Prometheus 的 数据 进行 研究 。Prometheus 有 自己 的 查询 语言 ， 
和 各 种 运算 符 。 举 个 简单 的 例子 ， 尝 试 输入 表达 式 : 








sum(container_cpuy_usage_seconds_total {name=~"logging*"}) by (name) 


通过 它 ， 我 们 可 以 得 到 每 个 identidock 容器 在 不 同时 间 的 CPU 使 用 率 。 其 中 的 
{name=~"logging*"} 表达 式 过 滤 不 在 我 们 的 Compose 应 用 程序 中 的 容器 (例如 cAdvisor 和 


Prometheus 本 身 )。 你 需要 把 “logging” 替 换 为 你 的 Compose 项 目 名 称 或 文 促 




















开支 持 过 滤器 、 正 则 表达 式 


F 夹 名 称 。 表 


达 式 中 用 到 了 sun 函数 ， 因 为 CPU 使 用 率 是 以 每 个 CPU 为 单位 的 。 你 得 到 的 结果 应 类 似 








图 10-6 所 示 。 











sum(container_cpu_usage_seconds._total {name=~".*"})) by (name) 


Execute -insert metric at cursor - | 
Graph Console 


=” 15m + 和 |L » 





Load time: 288ms 
Resolution: 3s 


O stacked 





{name="prometheus"} 
{name="logging_redis_1"} 
{name="logging_proxy_1"} 

轩 {name="logging_logstash_1"} 

{name="logging_logspout_1"} 

{name="logging_kibana_1"} 
{name="logging_identidock_1"} 


{name="logging_elasticsearch_1"} 
{name="logging_dnmonster_1"} 
{name="grave_bose”} 
轩 {name="cadvisor"} 
{name="/docker’} 
{name="/"} 














10-6: 用 Prometheus 绘制 的 容器 CPU 使 用 率 图 表 
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我 们 还 可 以 更 进一步 ， 利 用 PromDash 容器 建立 一 个 仪表 盘 。 由 于 配置 相对 简单 ， 我 把 这 
部 分 留 给 读者 作为 练习 。 图 10-7 展示 的 是 一 个 仪表 盘 ， 它 显示 了 上 述 的 CPU 指标 和 内 存 
使 用 情况 的 图 表 。PromDash 还 支持 显示 来 自 多 个 分 散 的 Prometheus 实例 的 图 表 ， 对 需要 
显示 不 同 地 理 位 置 或 不 同 部 门 的 图 表 非 常 有 用 。 
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图 10-7: identidock 容器 的 PromDash 仪表 盘 


当然 ， 这 只 是 很 基本 的 Prometheus 用 法 。 实 际 的 使 用 场景 将 涉及 从 分 布 在 不 同 地 方 的 主机 
抓 取 数 据 ， 而 且 端 点 的 数量 会 多 得 多 ， 并 需要 利用 PromDash 设置 仪表 盘 和 对 可 视 化 图 表 
进行 深入 分 析 ， 以 及 利用 Alertmanager 发 送 通知 。 


10.3 商用 的 监听 及 日 志 记 录 解 决 方案 


在 本 华中 我 刻意 地 只 对 开源 和 非 托管 形式 的 解决 方案 作 了 深入 探讨 ， 但 其 实现 在 已 经 有 很 
多 较为 成 熟 的 商用 解决 方案 ， 而 且 竞 争 非常 激烈 。 由 于 这 个 领域 的 发 展 迅 速 ， 与 其 告诉 你 
有 哪些 具体 的 解决 方案 ， 不 如 说 这 个 领域 很 值得 你 去 花 点 时 间 仔 细 研 究 一 下 ， 尤 其 是 当 你 
需要 寻找 一 个 成 熟 的 ， 或 能 提供 托管 服务 的 解决 方案 时 。 


10.4 ”总结 


有 效 的 日 志 记录 和 监听 ， 对 于 运行 基于 微服 务 架 构 的 应 用 而 言 至 关 重 要 。 本 章 介绍 了 如 何 
使 用 ELK 组 合 以 及 cAdvisor 和 Prometheus， 从 而 让 identidock 能 实现 有 效 的 日 志 记 录 和 监 
昕 。 虽 然 这 个 解决 方案 相 较 于 我 们 的 应 用 程序 本 身 更 笨重 (将 日 志 记 录 和 监听 本 身 与 指标 
数据 相 比 )， 但 我 们 也 看 到 ， 建 立 一 个 有 效 的 方案 是 非常 快速 和 简单 的 。 

未 来 我 们 将 会 看 到 Docker 对 日 志 记录 提供 更 多 的 支持 和 选项 。 在 日 志 记 录 、 监 听 及 警报 
通知 这 儿 方 面 ， 都 已 经 有 很 强大 的 商用 产品 可 供 选 择 ， 我 们 期 待 这 些 厂商 未 来 能 发 展 出 专 
门 为 Docker 和 微服 务 设计 的 方案 。 
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第 三 部 分 


工具 和 技术 





第 三 部 分 将 深入 讲解 安全 可 靠 地 运行 Docker 容器 集群 时 所 需要 的 工具 和 技术 。 


这 一 部 分 首先 会 介绍 联网 和 服务 发 现 。 一 旦 运行 容器 的 主机 数目 超过 一 台 ， 服 务 发 现 就 变 
得 很 重要 。 换 言 之 ， 你 的 容器 怎样 才能 找到 彼此 ?你 又 该 怎样 把 它们 连接 起 来 ? 


接 下 来 会 介绍 能 够 帮助 你 实现 服务 编排 和 容器 集群 的 解决 方案 。 这 些 工具 可 以 帮助 开发 者 
解决 负载 均衡 、 扩 展 以 及 故障 切换 等 问题 ,并 且 可 以 帮助 运营 部 门 调度 容器 以 及 将 资源 利 
用 最 大 化 。 任 何 长 时 间 运 行 的 应 用 程序 迟早 都 会 遇 到 这 些 问 题 ， 因 此 预先 了 解 这 些 问题 以 
及 解决 它们 的 可 行 方案 将 非常 有 用 。 

最 后 一 章 将 介绍 如 何 确保 容器 和 微服 务 部 署 的 安全 性 。 容 器 
也 衍生 出 新 的 工具 和 技术 。 尽 管 这 个 主题 放 在 了 本 书 的 最 
的 工作 涉及 容器 ， 你 就 应 该 深入 了 解 它 








器 给 安全 性 带 来 了 新 的 挑战 ， 但 
后 ， 但 它 其 实 非常 重要 ， 只 要 你 
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联网 和 服务 发 现 





在 容器 的 世界 里 ， 服 务 发 现 和 联网 之 间 的 界线 可 以 是 非常 模糊 的 。 服 务 发 现 是 为 某 个 服务 
的 客户 端 ' 自动 提供 连接 至 该 服务 的 合适 实例 的 信息 (通常 是 人 P 地 址 和 端口 ) 的 过 程 。 这 
个 问题 在 静态 的 、 单 主机 系统 里 很 容易 解决 ， 因 为 总 共 只 有 一 个 实例 ， 但 在 分 布 式 系统 里 
就 复杂 多 了 ， 因 为 一 个 服务 会 有 多 个 实例 ， 而 且 实 例 不 会 一 直 存 在 ， 它 们 都 是 动态 创建 和 
关闭 的 。 服 务 发 现 的 一 种 实现 方法 是 让 客户 端 只 用 服务 名 称 发 出 请 求 ( 例 如 db 或 api)， 
然后 在 后 台 以 特殊 方法 把 名 称 对 应 到 合适 的 地 址 。 其 中 的 “特殊 方法 ”可 以 是 以 下 几 种 : 
简单 的 大 使 容器 、 服 务 发 现 方案 (譬如 Consul) 、 联 网 方案 (譬如 Weave， 它 还 包括 服务 
发 现 功能 ) ， 或 者 是 以 上 几 种 的 组 合 。 


关于 联网 ， 我 们 关注 的 是 如 何 把 容器 连接 起 来 的 过 程 。 它 不 涉及 物理 以 太 网 线 的 连接 ， 尽 
管 它 常 常 与 软件 上 对 等 的 东西 (如 veth) 相关 。 容 器 联网 的 前 提 是 假设 主机 之 间 已 有 可 通 
信 的 路 由 ， 无 论 路 由 是 穿越 公 网 ， 还 是 只 涉及 本 地 高 速 交 换 机 的 内 网 。 


因此 ， 服 务 发 现 允 许 客 户 端 发 现 服务 实例 ， 而 联网 则 负责 把 相关 部 分 连接 起 来 。 关 于 联网 
和 服务 发 现 的 方案 往往 在 功能 上 有 所 重合 ， 因 为 服务 发 现 可 以 跨越 不 同 网 络 ， 而 联网 的 解 
决 方案 通常 包含 一 些 服 务 发 现 功能 (例如 Weave)。 像 Consul 这 种 提供 纯 服 务 发 现 的 方案 ， 
很 可 能 在 健康 检查 、 故 障 切 换 和 负载 均衡 等 方面 提供 了 更 丰富 的 功能 。 专 门 的 联网 解决 方 
案 则 提供 多 种 容器 连接 与 路 由 ”方法 ， 还 提供 了 传输 加 密 和 隔离 容器 组 等 功能 。 
























































注 1: 这 里 的 “客户 端 ” 是 广义 上 的 意思 。 这 里 所 指 的 客户 端 不 单 是 应 用 程序 和 在 后 台 运 行 的 服务 ， 同 时 还 

包括 对 等 体 (试想 在 一 个 集群 中 , 可 能 会 包含 互相 协作 的 并 行 实例 ) 和 最 终 用 户 的 客户 端 ,比如 浏览 器 。 
注 2: 什么 实例 “合适 ”取决 于 使 用 场景 ， 它 的 意思 可 能 是 “任何 一 个 “速度 最 快 的 ”或 “最 接近 我 的 数 
据 的 "， 等 等 。 
注 3: 即使 “只 是 ”使 用 服务 发 现 ， 也 将 涉及 部 分 联网 功能 : 可 能 是 使 用 默认 的 Docker“ 网 桥 ”联网 模 
式 时 ， 把 端口 开放 给 主机 ， 或 者 使 用 “主机 ”联网 模式 。 二 者 都 会 涉及 端口 管理 。 
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很 多 时 候 ， 你 需要 同时 使 用 服务 发 现 和 联网 两 种 方案 〈 某 种 程度 的 联网 是 必需 的 )。 有 具体 
需要 怎样 的 方案 则 取决 于 你 的 实际 情况 ， 目 前 最 佳 实践 仍 在 不 断 发 展 中 。 联 网 的 实现 可 能 
在 开发 、 测 试 和 生产 环境 中 有 所 不 同 ， 但 服务 发 现 通常 需要 考虑 的 问题 是 在 应 用 层 ， 因 此 
并 不 会 因 环境 不 同 而 有 所 改变 。 
本 章 尝 试 由 浅 入 深 地 讲解 联网 和 服务 发 现 的 各 个 方面 ， 从 最 简单 的 跨 主 机 方案 “大 使 容 
器 ”开始 ， 之 后 会 讲 到 诸如 etcd 和 Consul 的 服务 发 现 方案 ， 最 后 才 会 详 述 Docker 联网 的 
细节 以 及 相关 的 解决 方案 ， 例 如 Weave、EFlannel 和 Project Calico。 


11.1 大 使 容器 


将 不 同 主机 上 的 容器 连接 起 来 的 一 种 方法 叫 作 大 使 容器 (ambassador)。 它 其 实 是 代理 容 
器 ， 代 替 真 正 的 容器 (或 服务 ) 接收 网 络 通信 ， 并 把 流量 转发 至 真正 的 服务 中 去 。 大 使 容 
器 还 能 提供 关注 点 分 离 (separation of concern) ， 这 使 它 不 仅 能 用 于 连接 不 同 主机 的 服务 ， 
还 能 在 许多 别 的 情况 下 发 挥 所 长 。 

大 使 容器 的 主要 优点 在 于 ， 它 允许 在 无 需 修改 任何 代码 的 情况 下 ， 让 生产 环境 的 联网 架构 
有 别 于 开发 环境 。 开 发 人 员 可 以 放心 使 用 本 地 的 数据 库 和 其 他 资源 ， 因 为 他 们 知道 运 维 人 
员 在 不 需要 修改 任何 代码 的 情况 下 ， 就 能 够 把 应 用 程序 改 为 使 用 集群 服务 或 远程 资源 。 大 
使 容器 还 可 以 随时 切换 它 正 在 使 用 的 支撑 服务 ， 但 如 果 是 使 用 Docker 连接 直接 绑 定 到 那 
个 服务 的 话 ， 客 户 端 那 边 的 容器 就 必须 重新 启动 。 

大 使 容器 的 缺点 是 ， 它 需要 更 多 的 配置 工作 以 及 额外 的 开销 ， 而 且 它 是 个 潜在 的 故障 点 。 
当 需 要 多 个 连接 的 时 候 ， 它 很 快 就 会 变 得 非常 复杂 ， 造 成 管理 上 的 一 个 负担 。 

11-1 展示 了 一 个 典型 的 开发 场景 ， 其 中 开发 人 员 通 过 Docker 连接 把 应 用 程序 直接 连接 
到 数据 库容 器 ， 而 他 的 应 用 程序 和 数据 库容 器 都 是 运行 在 他 的 本 地 笔记 本 电脑 上 。 这 个 配 
置 方便 在 开发 过 程 中 把 东西 推倒 重 来 ， 非 常 适 用 于 需要 进行 快速 修改 的 开发 流程 。 

















































































































发 人 员 的 笔记 本 电脑 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 ~ 











竹本 





11-1: 未 使 用 大 使 容器 的 开发 环境 


11-2 中 展示 了 一 个 普遍 用 于 生产 环境 的 设置 ， 运 维和 人 员 利用 大 使 容器 将 应 用 程序 与 它 所 
需 的 正式 服务 连接 上 ， 而 这 个 服务 运行 在 男 一 台 服 务 器 上 。 运 维 人 员 需 要 做 的 是 配置 大 使 
容器 ， 使 网 络 通 信 能 够 通过 它 传 给 该 服务 ， 并 利用 Docker 连接 把 应 用 程序 与 大 使 容器 连 
上 。 无论 是 这 个 新 设置 ， 还 是 之 前 未 使 用 大 使 容器 的 设置 ， 代 码 中 使 用 的 主机 名 和 端口 都 
是 一 样 的 。 
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图 11-2: 程序 在 生产 环境 中 通过 大 使 容器 连接 至 所 需 服务 





在 图 11-3 所 示 的 设置 中 ， 可 以 看 到 一 个 应 用 程序 正 与 一 个 位 于 远程 主机 上 的 容器 通信 ， 而 
在 这 个 远 端 的 容器 前 面 放 置 了 一 个 大 使 容器 。 这 种 设置 让 我 们 只 需 更 改 大 使 容器 ， 就 能 让 
远程 主机 把 网 络 通信 转发 至 位 于 其 他 地 址 上 的 新 容器 。 同 样 ， 这 个 设置 并 不 涉及 任何 代码 
的 修改 。 
































图 11-3: 利用 两 个 大 使 容器 连接 至 位 于 远 端 的 容器 





大 使 容器 本 身 可 以 是 一 个 非常 简单 的 容器 。 它 需要 做 的 只 是 建立 应 用 程序 与 服务 之 间 的 连 
接 。 大 使 容器 并 没有 官方 镜像 ， 你 需要 自己 创建 一 个 ， 或 从 Docker Hub 上 挑选 一 个 用 户 
镜像 使 用 。 











amouat/ambassador 镜像 


这 一 章 使 用 一 个 称 为 amouat/ambassador 的 镜像 。 这 个 名 席 像 移植 自 Sven Dowideit 的 大 
使 镜像 (https://hub.docker.com/r/svendowideit/lambassador/) ， 它 经 过 了 一 些 修改 ， 包 括 
改 用 了 alpine 基础 镜像 ， 以 及 在 Docker Hub 上 配置 了 自动 生成 镜像 。 


这 个 镜像 使 用 socat (http:Wwww.destrunreach.org/socat/) 来 设置 大 使 容器 和 目标 之 间 
的 流量 转发 。 它 通过 使 用 与 Docker 连接 产生 的 环境 变量 相同 的 形式 (例如 REDIS_ 
PORT_6379_TCP=tcp://172.17.0.1:6379) 来 定义 转发 的 目标 位 置 。 这 意味 着 如 果 转 发 到 
本 地 连接 的 容器 (如 图 11-3 中 的 主机 也 ) ， 只 需 少 量 配 置 即 可 。 


由 于 该 镜像 以 极 简 的 Alpine Linux 发 行 版 为 基础 ， 它 的 大 小 仅 7MB 多 一 点 ， 因 此 下 载 
时 间 很 短 ， 而 且 几 乎 不 会 给 系统 增加 任何 负担 。 
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下 面 来 看 看 如 何 通 过 大 使 容器 ， 像 图 11-3 那样 把 我 们 的 identidock 应 用 与 运行 在 另 一 台 主 














机 上 的 Redis 容器 相连 接 。 我 们 将 利用 Docker Machine 部 署 两 个 VirtualBox 虚拟 机 ( 详 见 
9.1 节 )， 但 使 用 云端 的 Docker 主机 也 能 很 轻松 地 执行 这 个 范例 。 先 准备 好 主机 : 




















$ docker-machine create -d virtualbox redis-host 


$ docker-machine create -d virtualbox identidock-host 


现在 需要 在 redis-host 上 建立 一 个 Redis 容器 〈 称 为 real-redis) 和 一 个 大 使 容器 ( 称 为 
reaL-redis-ambassador) : 





$ eval $(docker-machine env redis-host) 

$ docker run -d --name real-redis redis:3 
Unable to find image 'redis:3' locally 

3: Pulling from redis 


60bb8d255b950b1b34443c04b6a9e5feec5047709e4e44e58a43285123e5c26b 
$ docker run -d --name real-redis-ambassador \ 

-p 6379:6379\ @ 

--Link real-redis:real-redis \ © 

amouat/ambassador 
be613f5d1b49173b6b78b889290fd1d39dbbofda4fbd74ee0ed26ab95ed7832c 


@ 发 布 主机 上 用 于 远程 连接 的 6379 端口 。 
@ 大 使 容器 通过 使 用 连接 中 的 real-redis 容器 的 环境 变量 ， 把 来 自 6379 端口 的 请 求 转发 
到 real-redis 容器 。 


现在 需要 在 identidock-host 上 建立 一 个 大 使 容器 : 











$ eval $(docker-machine env identidock-host) 

$ docker run -d --name redis_ambassador --expose 6379 \ 
-e REDIS_PORT_6379_TCP=tcp://$(docker-machine ip redis-host):6379 \ © 
amouat/ambassador 

Unable to find image 'amouat/ambassador:latest' locally 

latest: Pulling from amouat/ambassador 

31f630c65071: Pull complete 

cb9fe39636e8: Pull complete 

3931d220729b: Pull complete 

154bc6b29ef7: Already exists 

Digest: sha256:647c29203b9c9aba8e304fabfd194429a4138cfd3d306d2becc1a10e646fcc23 

Status: Downloaded newer image for amouat/ambassador:latest 

26d74433d44f5b63c173ea7d1cfebd6428b7227272bd52252f2820cdd513f164 


@ 我 们 需要 手动 设置 一 个 环境 变量 ， 让 大 使 容 吉 知道 如 何 连接 远程 主机 。 远 程 主机 的 卫 
地 址 可 以 通过 docker-machine ip 命令 获得 。 


最 后 ， 把 identidock 连接 到 大 使 容器 ， 然 后 启动 identidock 和 dnmonster: 








$ docker run -d --name dnmonster amouat/dnmonster:1.0 
Unable to find image 'amouat/dnmonster:1.0' locally 
1.0: Pulling from amouat/dnmonster 


c7619143087f6d80b103a0b26e4034bc173c64b5fd0448ab704206b4ccd63fa 





$ docker run -d --Link dnmonster:dnmonster \ 

--Link redis_ambassador:redis \ 

-p 80:9090 \ 

amouat/identidock:1.0 
Unable to find image 'amouat/identidock:1.0' locally 
1.0: Pulling from amouat/identidock 


5e53476ee3c0c982754f9e2c42c82681aa567cdfb0b55b48ebc7eea2d586eeac 
来 试 一 试 吧 ， 


$ curl $(docker-machine ip identidock-host) 
<html><head>... 


成 功 了 ! 我 们 没有 修改 任何 代码 ， 只 使 用 了 两 个 很 小 的 大 使 容器 ， 就 把 identidock 分 布 在 
台 主 机 上 运行 了 。 虽 然 这 样 做 看 起 来 有 点 繁琐 ， 而 且 还 需要 使 用 额外 的 容器 ， 但 它 的 设 

计 其 实 是 很 简单 和 灵活 的 。 我 们 很 容易 就 能 想 出 大 使 容器 更 复杂 的 使 用 场景 ， 略 举 如 下 。 

。 在 不 可 信 的 网 络 连 线 上 进行 通信 加 密 。 

。 当 容 器 开始 监听 Docker 的 事件 流 时 ， 自 动 连接 容器 。 

。 用 作 读 写 数据 的 代理 ， 把 数据 读 取 和 写 入 的 请 求 分 流 至 不 同 的 服务 器 ， 读 取 请 求 使 用 的 
是 只 读 的 数据 库 。 

在 任何 情况 下 ， 客 户 端 都 无 需 知道 大 使 容器 在 做 什么 。 


虽然 大 使 容器 很 有 用 ， 但 如 果 希 望 实现 查找 和 连接 远程 的 服务 和 容器 ， 在 大 多 数 情况 下 使 
用 联网 和 服务 发 现 会 更 容易 ， 而 且 可 扩展 性 会 更 好 。 


11.2 ”服务 发 现 


在 本 章 的 开始 ， 服 务 发 现 定义 为 :为 某 个 服务 的 客户 端 自动 提供 连接 至 该 服务 的 合适 实例 
信息 的 过 程 。 

对 于 客户 端的 应 用 程序 ， 这 意味 着 它 需 要 以 某 种 方式 请 求 或 被 告知 服务 的 地 址 。 接 下 来 会 
介绍 要 求 客 户 端 明 确 调用 API 以 请 求 服 务 地 址 的 方法 ， 以 及 可 以 轻松 与 现 有 应 用 程序 集成 
的 基于 DNS 的 解决 方案 。 

本 节 洱 盖 了 现今 能 够 与 Docker 搭配 的 主流 服务 发 现 方 案 。 首 先 将 深入 剖析 etcd、Consul 
和 SkyDNS， 之 后 会 对 其 他 一 些 值得 一 提 的 方案 作 一 个 简短 的 介绍 。 它 们 原本 是 为 大 型 分 
布 式 系统 而 设计 的 ， 并 非 专门 针对 容器 而 造 。 









































11.2.1 etcd 
etcd 是 一 个 分 布 式 的 键 值 存储 。 它 使 用 Go 语言 实现 了 Raft Consensus 算法 (https://raft. 
github.io/) ， 以 高 效 和 容错 为 设计 目标 。Consensus (共识 ) 是 多 个 成 员 对 数据 达成 一 致意 
见 的 过 程 。 当 遇 到 故障 和 错误 的 时 候 ， 这 个 过 程 很 快 就 会 变 得 相当 复杂 。 这 个 算法 能 保证 
数据 的 一 致 性 ， 并 且 只 需 大 多 数 成 员 在 场 ， 便 能 够 添加 新 的 值 。 

在 一 个 etcd 的 集群 中 ， 每 个 成 员 都 需要 运行 一 个 etcd 二 进 制程 序 的 实例 ， 这 个 实例 将 与 其 


























联网 和 服务 发 现 | 173 








他 成 员 进行 通信 。 客 户 端 访问 etcd 的 方法 是 通过 利用 所 有 成 员 都 配备 的 REST 接口 实现 的 。 


etcd 集群 的 建议 大 小 至 少 为 3 个 成 员 ， 这 样 才能 在 故障 发 生 时 实现 容错 。 不 过 下 面 的 例子 
里 只 有 两 个 成 员 ， 因 为 我 们 的 目的 只 是 为 了 展示 etcd 如 何 工作 。 



































最 佳 集 群 大 小 
etcd 和 Consul 建议 的 集群 大 小 为 3、5 或 7， 这样 能 够 在 容错 能 力 与 性 能 之 间 取 得 平衡 。 
如 果 集群 中 只 有 一 个 成 员 ， 当 故障 发 生 时 ， 数 据 就 会 丢失 。 如 果 只 有 两 个 成 员 ， 而 其 
中 一 个 发 生 故 障 ， 另 一 个 将 无 法 达到 法 定 人 数 4*， 往 后 的 写 入 将 会 失败 ， 直 到 第 二 个 成 
员 恢 复 为 止 。 
表 11-1: 集群 大 小 对 容错 的 影响 
服务 器 数量 ”达到 大 多 数 的 数量 ”容错 数 


他 





容 
0 
0 
1 
1 
2 
2 
3 


让 mm 一 
人 上 mm bp 一 


从 表 11-1 中 可 以 看 到 ， 增 加 成 员 的 数目 可 以 提升 容错 能 力 。 然 而 ， 成 员 数 量 的 增加 也 
意味 着 在 写 入 时 需要 在 更 多 的 节点 之 前 进行 商议 和 沟通 ， 从 而 影响 系统 性 能 。 由 于 必 
须 有 足够 多 的 节点 同时 发 生 故 障 才 会 导致 系统 崩溃 ， 一 旦 集群 中 的 节点 数目 超过 7 个 ， 
出 现 这 种 情况 的 可 能 性 就 非常 低 ， 因 此 考虑 到 性 能 ， 就 不 值得 再 增加 节点 数目 。 还 要 
注意 成 员 数 目 一 般 最 好 避免 偶数 ， 因 为 集群 节点 的 数量 虽然 增多 了 (并 因此 影响 了 性 
能 ) ， 但 并 未 提升 容错 能 力 。 

当然 ， 许 多 分 布 式 系统 的 主机 数目 远 远 超过 7 个 。 这 种 情况 下 ， 其 中 5 个 或 7 个 主机 
可 以 用 于 集群 的 组 成 ， 其 余 节点 上 运行 的 客户 端 可 以 只 用 作 系 统 查 询 ， 不 参与 达成 共 
识 。 这 一 点 在 etcd 中 以 代理 来 实现 ， 而 在 Consul 中 则 以 客户 端 模式 实现 。 











首先 利用 Docker machine 创建 两 个 新 主机 : 


$ docker-machine create -d virtualbox etcd-1 


$ docker-machine create -d virtualbox etcd-2 


现在 可 以 启动 etcd 容器 。 因 为 已 预先 知道 etcd 集群 的 成 员 ， 所 以 只 需 在 启动 容器 时 明确 
列 出 它们 便 可 以 了 。 如 果 无 法 预知 容器 地 址 ， 也 可 以 使 用 集群 提供 的 基于 URL 或 DNS 的 


























注 4: 简单 来 说 就 是 “大 多 数 ” 的 意思 。 








174 | 第 11 章 





发 现 机 制 。 启 动 etcd 的 时 候 需 要 设置 很 多 选项 ， 因 此 我 使 用 了 环境 变量 来 保存 虚拟 机 的 卫 


地 址 ， 


LT LT LT LT 





这 样 做 可 以 让 启动 简单 些 : 


HOSTA=$ (docker-machine ip etcd-1) 

HOSTB=$ (docker-machine ip etcd-2) 

eval $(docker-machine env etcd-1) 

docker run -d -p 2379:2379 -p 2380:2380 -p 4001:4001 \ 

--name etcd quay.io/coreos/etcd:v2.2.5\ © 

-name etcd-1 -initial-advertise-peer-urls http://${HOSTA}:2380 \ © 

-listen-peer-urls http://0.0.0.0:2380 \ 

-listen-client-urls http://90.0.0.0:2379,http://0.0.0.0:4001 \ 

-advertise-client-urls http://${HOSTA}:2379 \ 

-initial-cluster-token etcd-cLuster-1 \ 

-initial-cluster \ 
etcd-1=http://${HOSTA}:2380,etcd-2=http://${HOSTB}:2380 \ © 

-initial-cluster-state new 


> 





d4c12bbb16042b11252c5512ab595403fefcb2f46abb6441b0981103eb596eed 


@ 从 quay.io 寄存 服务 获取 官方 的 etcd 镜像 。 

四 设置 访问 etcd 所 需 的 各 个 URL。 为 了 能 够 建立 来 自 远 端 和 本 地 的 连接 ， 我 们 必须 确保 
etcd 监听 也 地 址 9.9.9.9， 但 要 告诉 其 他 客户 端 和 etcd 节点 经 由 主机 IP 连接。 在 实际 
的 设置 中 ，etcd 节点 应 该 只 会 在 内 部 网 络 上 通信 ， 而 不 应 把 它 暴露 于 外 网 ( 换 旬 话说 ， 
不 应 通过 docker-machine ;ip 来 获取 IP)。 

@ 明确 列 出 集群 中 的 所 有 节点 ， 包 括 正 在 启动 的 节点 。 这 部 分 信息 可 以 用 甚 他 的 服务 发 现 
方法 奉 代 。 


第 二 个 虚拟 机 的 设置 几乎 一 模 一 样 ， 唯 一 的 区 别 是 需要 对 外 部 的 客户 端 公布 etcd-2 的 人 P 


地 址 : 


$ 
$ 


























eval $(docker-machine env etcd-2) 

docker run -d -p 2379:2379 -p 2380:2380 -p 4001:4001 \ 

--name etcd quay.io/coreos/etcd:v2.2.5 \ 

-name etcd-2 -initial-advertise-peer-urls http://${HOSTB}:2380 \ 

-listen-peer-urls http://0.0.0.0:2380 \ 

-listen-client-urls http://90.0.0.0:2379,http://0.0.0.0:4001 \ 

-advertise-client-urls http://${HOSTB}:2379 \ 

-initial-cluster-token etcd-cLuster-1 \ 

-initial-cluster \ 
etcd-1=http://${HOSTA}:2380,etcd-2=http://${HOSTB}:2380 \ 

-initial-cluster-state new 


2aa2d8fee10aec4284b9b85a579d96ae92ba0f1le210fb36da2249f31e556a65e 


现在 我 们 的 etcd 集群 已 经 启动 了 。 我 们 可 以 利用 curl 给 etcd 的 HTTP API 发 送 一 个 简单 的 


查询 ， 


$ 
{ 








要 求 列 出 所 有 成 员 的 名 单 : 


curl -s http://SHOSTA:2379/v2/members | jq '." 





"members": [ 


{ 
"clientURLs": [ 
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"http://192.168.99.100:2379" 
]5 
"peerURLs": [ 
"http://192.168.99.100:2380" 
]3 
"name": "etcd-1", 
"id": "30650851266557bc" 
的 
{ 
"clientURLs": [ 
"http://192.168.99.101:2379" 
J 
"peerURLs": [ 
"http://192.168.99.101:2380" 
]3 
"name": "etcd-2", 
"id": "9636be876f777946" 
} 
] 
} 


为 了 使 输出 排列 整齐 ， 这 里 使 用 了 一 个 名 为 jq 的 工具 。 通 过 发 送 P0ST 和 DELETE 的 HTTP 
请 求 到 相同 的 端点 ， 还 可 以 在 集群 中 动态 添加 或 删除 成 员 。 

下 一 步 添 加 一 些 数据 ， 然 后 验证 数据 在 两 个 不 同 的 主机 上 都 能 够 读 取 到 。 数 据 存 储 的 位 
置 是 在 etcd 的 目录 下 ， 并 以 JSON 格式 返回 。 下 面 的 例子 通过 HTTP PUT 请 求 将 service_ 
address 的 值 存储 在 service_name 目录 下 : 


$ curl -s http://$HOSTA:2379/v2/keys/service name \ 
-XPUT -d value="service _address" | jq '.' 









































{ 

"node": { 
"createdIndex": 17， 
"modifiedIndex": 17， 
"value": "service address", 
"key": "/service name" 

}， 

"action": 


} 
我 们 只 需 对 该 目录 执行 一 个 GET 请 求 ， 就 能 把 值 取 回 来 : 


$ curl -s http://$HOSTB:2379/v2/keys/service name | jq '." 


set" 


TI 




















{ 
"node": { 
"createdIndex": 17， 
"modifiedIndex": 17， 
"value": "service address", 
"key": "/service name" 
}， 
"action": "get" 
} 


默认 情况 下 ，etcd 除了 返回 某 个 键 的 值 ， 还 会 返回 一 些 元 数据 。 请 注意 ， 虽 然 我 们 在 








etcd-1 上 设置 数据 ， 但 返回 值 是 从 etcd-2 读 取 的 。 由 于 它们 隶属 同一 个 集群 ， 对 哪个 主 
机 操作 都 是 可 以 的 ， 它 们 给 出 的 答案 必定 一 致 。 


还 有 一 个 名 为 etcdctl 的 命令 行 客户 端 ， 它 可 用 于 与 etcd 集群 交互 。 虽 然 我 们 可 以 直接 安 
装 它 ， 但 这 里 我 选择 使 用 容器 : 

$ docker run binocarlos/etcdctl -C ${HOSTB}:2379 get service_name 

service address 


通过 查看 etcd 容器 的 日 志 ， 你 能 看 到 很 多 etcd 工作 时 的 细节 ， 其 中 包括 成 员 之 间 如 何 协作 
选 出 leader， 这 对 你 了 解 etcd 的 工作 原理 将 很 有 帮助 。 关 于 etcd 采用 的 Raft 算法 ， 可 以 在 
https://raft.github.io/ 上 看 到 完整 的 详细 介绍 。 


现在 我 们 应 该 已 经 知道 怎样 编写 一 个 直接 利用 etcd 作为 服务 发 现 的 应 用 程序 了 。 如 果 
需要 修改 我 们 的 identidock 程序 ， 只 需要 在 Python 代码 中 添加 一 个 简单 的 HTTP 请 求 即 
可 ,该 请 求 用 来 查找 Redis 和 dnmonster 服务 的 地 址 。 如 果 要 更 进一步 的 话 ， 还 可 以 修改 
dnmonster 和 Redis 容器 ， 使 它们 在 启动 时 把 自己 的 地 址 登记 到 etcd 中 ， 这 样 就 实现 全 自 
动 化 了 。 


虽然 可 以 通过 修改 identidock 代码 来 增加 服务 发 现 功 能 ， 不 过 下 一 市 将 会 介绍 如 何 利用 
SkyDNS 建立 一 个 基于 etcd 的 服务 发 现 方案 ， 而 无 需 修改 任何 代码 。 



































11.2.2 SkyDNS 


SkyDNS (https://github.com/skynetservices/skydns) 在 etcd 之 上 实现 了 一 个 基于 DNS 的 
服务 发 现 方案 。 值 得 一 提 的 是 ，Google Container Engine 正 是 采用 了 SkyDNS 来 实现 
Kubernetes 的 服务 发 现 功 能 (参见 12.1.3 节 )。 


我 们 可 以 利用 SkyDNS 实现 etcd 解决 方案 ， 而 且 不 需要 改动 任何 代码 ， 就 能 够 把 
identidock 分 布 在 两 台 主 机 上 运行 。 如 果 你 已 经 跟着 之 前 的 例子 一 起 做 了 ， 你 现在 应 该 已 
经 有 一 个 由 两 台 服 务 器 组 成 的 etcd 集群 ， 一 台 是 卫 地 址 为 SHOSTA 的 etcd-1， 另 一 台 是 卫 
地 址 为 $H0STB 的 etcd-2。 当 完成 这 一 节 的 例子 后 ， 我 们 的 系统 架构 将 如 图 11-4 所 示 ， 其 
中 的 identidock 容器 将 利用 SkyDNS 寻找 dnmonster 和 Redis 容器 的 所 在 位 置 。 
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11-4: 利用 SkyDNS 和 etcd 实现 identidock 的 跨 主机 配置 


首先 要 做 的 就 是 为 etcd 添加 一 些 SkyDNS 的 配置 ， 让 SkyDNS 启动 时 知道 该 做 什么 : 
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$ curl -XPUT http://${HOSTA}:2379/v2/keys/skydns/config \ 
-d value='{"dns_addr":"0.0.0.0:53", "domain":"identidock.local."}' | jq . 


{ 
"action": "set", 
"node": { 
"key": "/skydns/config", 
"value": "{\"dns_addr\":\"0.0.0.0:53\", \"domain\":\"identidock.local.\"}", 
"modifiedIndex": 6， 
"createdIndex": 6 
} 
} 


上 面 的 配置 告诉 SkyDNS 监听 所 有 网 络 接口 的 53 端口， 并 作为 identidock.local 这 个 域名 
的 权威 服务 器 (authority ) 。 


虽然 SkyDNS 可 以 直接 在 主机 上 运行 ， 但 使 用 SkyDNS 的 容器 比较 明智 。 我 们 将 要 使 用 的 
是 由 SkyDNS 开发 者 创建 的 skynetservices/skydns 镜像 现在 让 我 们 在 etcd-1 上 启动 它 : 
$ eval $(docker-machine env etcd-1) 


$ docker run -d -e ETCD_MACHINES="http://${HOSTA}:2379,http://${HOSTB}:2379" \ 
--name dns skynetservices/skydns:2.5.2a 

















f95a871247163dfa69cf0a974be6703fe1dbf6d07daad3d2fa49e6678fa17bd9 


在 之 前 的 例子 中 ， 我 们 需要 提供 一 些 额 外 的 参数 来 告诉 etcd 后 台 的 位 置 ， 但 现在 已 经 无 需 
这 样 做 了 。 我 们 已 经 有 了 一 个 可 以 工作 的 DNS 服务 器 ， 只 是 还 没有 告诉 它 任 何 服务 。 现 
在 让 我 们 在 etcd-2 上 启动 Redis 服务 器 ， 并 把 它 添加 到 SKYDNS : 


$ eval $(docker-machine env etcd-2) 
$ docker run -d -p 6379:6379 --name redis redis:3 











d9c72d30c6cbf1e48d3a69bc6b0464d16232e45f32ec00dcebf5a7c6969b6aad 

$ curl -XPUT http://S{fHOSTA}:2379/v2/keys/skydns/LocaL/identidock/redis \ 
-d value='{"host":"'$HOSTB'","port":6379}' | jq . 

{ 


"action": 

"node": { 
"key": "/skydns/local/identidock/redis", 
"value": "{\"host\":\"192.168.99.101\",\"port\":6379}", 
"modifiedIndex": 7， 
"createdIndex": 7 

} 

} 


curl 请 求 的 路 径 以 /local/identidock/redis 结尾 ， 表 示 目 标 域名 为 redis.identidock.local。 参 数 
中 的 JSON 数据 表示 域名 解析 后 的 卫 地 址 和 端口 。 我 们 使 用 的 卫 地 址 是 主机 的 全 地 址 而 
不 是 Redis 容器 的 卫 ， 因 为 容器 的 IP 地址 是 在 etcd-2 的 本 地 网 络 。 


现在 可 以 先 试 试 这 个 配置 能 否 正 常 工作 。 我 们 需要 启动 一 个 新 容器 ， 并 把 --dns 选项 指向 


set", 





























注 5: 撰写 本 书 的 时 候 ，SkyDNS 镜像 还 没有 利用 自动 构建 生成 ， 因 此 它 就 像 一 个 黑 盒 子 。 你 可 能 更 希望 自 
己 构建 一 个 SkyDNS 容器 ， 这 样 便 可 以 确定 里 面 究 况 有 什么 东西 。 如 果 想 这 样 做 的 话 ， 在 SkyDNS 
的 GitHub 项 目 (https://github.com/skynetservices/skydns) 上 有 一 个 Dockerfile 可 供 使 用 。 






























































我 们 的 DNS 容器 ， 让 它 负责 域名 查询 : 


$ eval $(docker-machine env etcd-1) 
$ docker run --dns S$(docker inspect -f {{.NetworkSettings.IPAddress}} dns) \ 
-it redis:3 bash 


root@3baff51314d6: /data# ping redis.identidock.local 

PING redis.identidock.local (192.168.99.101): 48 data bytes 

56 bytes from 192.168.99.101: icmp_seq=0 ttL=64 time=0.102 ms 

56 bytes from 192.168.99.101: icmp_seq=1 ttL=64 time=0.090 ms 

56 bytes from 192.168.99.101: icmp_seq=2 ttL=64 time=0.096 ms 
^C--- redis.identidock.local ping statistics --- 

3 packets transmitted, 3 packets received, 0% packet loss 
round-trip min/avg/max/stddev = 0.090/0.096/0.102/0.000 ms 
root@3baff51314d6: /data# redis-cli -h redis.identidock.local ping 
PONG 


不 错 ! 唯一 的 问题 是 redis.identidock.local 这 个 名 字 有 点 匈 长。 如果 可 以 把 它 织 短 为 redis 
就 好 了 ， 可 是 这 样 不 行 : 

rootQ3baff51314d6: /data# ping redis 

ping: unknown host 


如 果 在 启动 新 容器 时 加 上 identidock.local 作为 DNS 搜索 的 域名 ， 那 么 操作 系统 便 会 在 
redis 无 法 解析 的 时 候 ， 自 动 尝试 解析 redis.identidock.local: 


root@3baff51314d6: /data# exit 

$ docker run --dns S$(docker inspect -f {{.NetworkSettings.IPAddress}} dns) \ 
--dns-search identidock.local \ 
-it redis:3 redis-cli -h redis ping 


























PONG 


非常 好 ， 这 和 我 们 想 要 的 相差 不 远 了， 但 我 们 不 希望 每 次 运行 容器 时 都 要 指定 --dns 和 
--dns-search 选项 。 我 们 也 可 以 在 执行 Docker 守护 进程 时 指定 这 两 个 选项 ， 但 是 如 果 
DNS 服务 器 本 身 是 一 个 容器 的 话 , 我 们 就 遇 到 一 个 先 有 鸡 还 是 先 有 鸡蛋 的 问题 了 ", 因此 需 
要 选择 另 一 种 方法 。 这 个 方法 就 是 把 域名 等 信息 添加 到 主机 的 /etc/resolv.conf 文件 中 “， 这 
个 文件 告诉 操作 系统 如 何 寻找 域名 ， 而 且 其 中 的 信息 也 会 被 传 到 容器 中 


$ docker-machine ssh etcd-1 

















docker@etcd-1:~$ echo -e "domain identidock.local \nnameserver " \ 
s$(docker inspect -f {{.NetworkSettings.IPAddress}} dns) > /etc/resolv.conf 
docker@etcd-1:~$ cat /etc/resolv.conf 
domain identidock.local 
nameserver 172.17.0.3 
docker@etcd-1:~$ exit 








站 
mr 
CN 


: 如 果 你 要 这 样 做 的 话 ， 可 以 将 DNS 容器 的 53 端口 开放 给 主机 ， 并 以 Docker 网 桥 的 地 址 作为 DNS 服 

务 器 的 地 址 。 
注 7: VirtualBox 的 虚拟 机 实际 上 会 在 重启 的 时 候 重 新 创建 这 个 文件 ， 等 于 把 我 们 的 修改 还 原 ， 因 此 这 里 
的 操作 仅 作为 示范 之 用 。 毕 竟 在 生产 环境 中 的 主机 ， 修 改 resolv.conf 的 方法 不 尽 相 同 ， 例 如 通过 
resolvconf 程序 。 
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再 试 试看 吧 : 


$ docker run redis:3 redis-cli -h redis ping 
PONG 


现在 来 启动 dnmonster， 并 把 它 添加 到 DNS : 





$ docker run -d --name dnmonster amouat/dnmonster:1.0 

$ DNM_IP=$(docker inspect -f {{.NetworkSettings.IPAddress}} dnmonster) 

$ curl -XPUT http://SHOSTA:2379/v2/keys/skydns/LocaL/identidock/dnmonster \ 
-d value="'{"host": "'S$DNM_IP'","port":8080}' 

















这 里 使 用 了 dnmonster 的 内 部 容器 他， 因此 它 只 能 从 etcd-1 访 问 。 如 果 我 们 有 多 个 
SkyDNS 服务 器 在 不 同 的 主机 上 运行 ， 为 避免 这 个 记录 对 其 他 服务 器 造成 混淆 ， 最 好 把 它 
标记 为 host local。 你 可 以 在 启动 SkyDNS 时 定义 一 个 host local 的 域名 。 


最 后 ， 把 所 有 Docker 连接 统统 拿 掉 ， 然 后 启动 identidock， 确 认 它 能 够 正常 工作 : 


$ docker run -d -p 80:9090 amouat/identidock:1.0 
$ curl $HOSTA 
<html><head><title>... 


现在 我 们 已 经 拥有 一 个 服务 发 现 接口 了 ， 它 不 仅 不 需要 对 原来 的 程序 作 任何 修改 ， 而 且 运 
行 在 一 个 具备 容错 能 力 的 etcd 分 布 式 存储 之 上 。 








“挖掘 ”SkyDNS 
如 果 想 了 解 SkyDNS 是 如 何 工作 的 ， 可 以 利用 SkyDNS 镜像 中 包含 的 dig 工具 。 例 如 : 


$ docker exec -it dns sh 
/ # dig QLocaLhost SRV redis.identidock.local 
dig @localhost SRV redis.identidock.local 


; <<>> DiG 9.10.1-P2 <<>> QLocaLhost SRV redis.identidock.local 

; (2 servers found) 

;; global options: +cmd 

;; Got answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51805 

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 


;; QUESTION SECTION: 
;redis.identidock. local. IN SRV 


;; ANSWER SECTION: 
redis.identidock.local. 3600 IN SRV 10 100 6379 redis.identidock.Tlocal. 


;; ADDITIONAL SECTION: 
redis.identidock.local. 3600 IN A 192.168.99.101 


;; Query time: 4 msec 

;; SERVER: ::1#53(::1) 

;; WHEN: Sat Jul 25 17:18:39 UTC 2015 
;; MSG SIZE rcvd: 98 








DNS 服务 器 返回 了 redis.identidock.local 的 SRV 记录 。 其 中 包括 卫 地 址 和 端口 号 ， 
以 及 优先 级 、 权 重 和 TTL。 








SkyDNS 使 用 了 SRV， 或 称 之 为 服务 (service) 的 记录 ， 以 及 传统 的 A 记录 (用 于 解析 
IPv4 地 址 )。SRV 是 返回 的 众多 记录 中 的 一 个 ， 包 含 服务 的 端口 号 、 存 活 时 间 (time-to- 
live，TTL)、 优 先 级 和 权重 。 设 置 TTL 的 用 途 之 一 是 为 了 确保 当 客户 端 或 代理 没有 定时 更 
新 它 时 ， 记 录 能 够 被 自动 删除 。 它 能 够 用 于 实现 故障 切换 ， 以 及 比 简单 地 让 客户 端 超时 更 
温和 的 错误 处 理 办 法 。 

SkyDNS 的 其 他 功能 还 包括 把 多 台 主 机 集合 成 为 一 个 地 址 池 (address pool) 用 作 负 载 均衡 ， 
以 及 把 指标 和 统计 数据 发 布 至 Prometheus 和 Graphite 等 服务 。 








11.2.3 Consul 


Consul (https://consul.io) 是 Hashicorp 公司 对 服务 发 现 这 个 难题 的 回应 。 除 了 作为 一 个 分 
布 式 且 高 度 可 用 的 键 值 存储 ， 它 还 有 先进 的 健康 检查 功能 ， 并 默认 配备 了 DNS 服务 器 。 
CAP 定理 

当 研 究 键 值 存储 和 服务 发 现时 ， 很 容易 磁 到 CAP 定理 (https://en.wikipedia. 
org/wiki/CAP_theorem)， 大 意 是 一 个 分 布 式 系统 不 可 能 同时 满足 一 致 性 
(Consistency)、 可 用 性 (Availability) 和 分 区 容 人 及 (Partition tolerant) 这 三 

个 特性 。” 

一 个 AP 系统 会 把 一 致 性 放 在 首位 ， 因 此 读 写 几乎 不 会 失败 〈 而 且 一 般 速 度 
很 快 )， 但 数据 可 能 不 会 一 直 保 持 最 新 〈 在 某 些 情况 下 可 能 返回 旧 数 据 )。 

个 CP 系统 会 把 一 致 性 放 在 首位 ， 因 此 写 操作 有 时 候 可 能 失败 ， 但 是 返回 的 
数据 一 直 是 正确 和 最 新 的 。 
在 实际 操作 中 ， 它 们 之 间 的 区 别 并 不 是 那么 明显 ， 尤 其 是 在 使 用 Consul 的 时 
候 。etcd 和 Consul 都 是 基于 CP 系统 的 Ratt 算法 。 然 而 ，Consul 具有 三 种 不 
同 的 模式 [default (默认 )、consistent (一 致 )、stale (陈旧 ) ]， 能 够 在 一 致 
性 和 可 用 性 之 间 提 供 不 同 程度 的 取舍 。 

































































任何 运行 Consul 代理 (agent) 实例 的 主机 ， 必 须 采 用 服务 器 模式 或 客户 端 模式 。 代 理 能 
够 查询 各 种 服务 状态 以 及 一 般 统 计数 据 ， 如 内 存 使 用 情况 ， 从 而 降低 客户 端 程序 的 复杂 
度 。 部 分 主机 (通常 是 3 个 、5 个 或 7 个 ， 详 见 11.2.1 节 的 辅助 栏 “ 最 佳 集群 大 小 ”) 的 代 
理 运 行 在 服务 器 模式 下 ， 负 责 写 和 信和 存储 数据 ， 并 与 其 他 服务 器 代理 协作 。 客 户 端 模式 的 
代理 则 把 请 求 转发 至 服务 器 代理 


Consul 的 入 门 也 很 容易 ， 尤 其 是 使 用 Docker 容器 的 话 。 以 下 的 范例 中 将 使 用 来 自 Glider 
Labs (http://gliderlabs.com/) 的 容器 。 与 之 前 一 样 ， 先 来 创建 两 个 新 的 虚拟 机 : 
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注 8: 有 关 这 些 术语 的 准确 定义 ， 参 见 “Brewer’s Conjecture and the Feasibility of Consistent Available, Partition- 
Tolerant Web Services” (https:/www.comp.nus.edu.sg/~gilbert/pubs/BrewersConjecture-SigAct.pdf) 。 
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$ docker-machine create -d virtuaLbox consul-1 


$ docker-machine create -d virtualbox consul-2 





现在 启动 Consul 容器 。 与 之 前 一 样 ， 为 了 市 省 一 些 操 作 ， 我 们 将 虚拟 机 的 了 P 地 址 保存 在 


环境 变量 





$ HOSTA=$(docker-machine ip consuL-1) 
$ HOSTB=$(docker-machine ip consuL-2) 
$ eval $(docker-machine env consuL-1) 
$ docker run -d --name consul -h consul-1 \ 
-p 8300:8300 -p 8301:8301 -p 8301:8301/udp \ 
-p 8302:8302/udp -p 8400:8400 -p 8500:8500 \ 
-p 172.17.42.1:53:8600/udp \ 
gliderlabs/consul agent -data-dir /data -server \ © 
-client 0.0.0.0\ © 
-advertise SHOSTA -bootstrap-expect 2 © 


ff226b3114541298d19a37b0751ca495d11fabdb652c3f19798f49db9cfea0dc 


@ 以 服务 器 模式 启动 Consul 代理 ， 数 据 保存 在 /data 目录 下 。 
外 在 指定 的 地 址 监听 来 自 客户 端的 API 请 求 。 该 地 址 默认 为 127.0.0.1， 并 只 适用 于 容器 内 。 


@@ -advertise 选项 指定 其 他 主机 联系 这 个 服务 器 时 应 使 用 的 地 址 ， 这 里 指定 的 是 了 














主 
IP 地 址 。 此 外 还 设置 了 -bootstrap-expect 选项 来 告诉 Consul 需要 等 待 第 二 个 服务 器 加 
入 集群 。 


刚才 的 命令 是 通过 由 Docker machine 返回 的 公 网 IP 连接 各 个 主机 的 。 在 生产 环境 中 ， 你 
使 用 的 应 该 是 一 个 无 法 从 互联 网 访问 得 到 的 私有 地 址 。 


现在 启动 第 二 个 容器 ， 这 次 需要 使 用 -join 命令 与 第 一 台 服务 器 连接 : 


通过 Consul 的 命令 行 工具 ， 能 够 确认 容器 已 被 添加 到 集 条 





$ eval $(docker-machine env consuL-2) 
$ docker run -d --name consul -h consuL-2 \ 
-p 8300:8300 -p 8301:8301 -p 8301:8301/udp \ 
-p 8302:8302/udp -p 8400:8400 -p 8500:8500 \ 
-p 172.17.42.1:53:8600/udp \ 
gliderlabs/consul agent -data-dir /data -server \ 
-client 0.0.0.0 \ 
-advertise SHOSTB -join S$HOSTA 


tt 


中 : 





$ docker exec consul consul members 

Node Address Status Type Build Protocol DC 
ConsuL-1 192.168.99.100:8301 alive server 0.5.2 2 dc1 
ConsuL-2 192.168.99.101:8301 alive server 0.5.2 2 dc1 


可 以 尝试 对 Consul 设置 和 读 取 一 些 数 据 ， 了 解 它 作 为 一 个 键 值 存储 是 如 何 工作 的 : 


$ curl -XPUT http://SHOSTA:8500/v1/kv/foo -d bar 
true 


$ curl http://$HOSTA:8500/v1/kv/foo | jq . 
[ 





"Value": "YmFy", 
"Flags": 0， 

"Key": "foo", 
"LockIndex": 0， 
"ModifyIndex": 39， 
"CreateIndex": 16 


} 
] 
看 起 来 有 点 奇怪 ， 数 据 的 确 是 取 回 来 了 ， 但 其 中 的 值 为 什么 是 "Value":"YmFy" 呢 ? 原来 ， 
Consul 会 动态 地 对 数据 进行 base64 编码 。 我 们 可 以 通过 jq 和 base64 命令 把 原始 数据 取 回 来 :” 


$ curl -s http://SHOSTA:8500/v1/kv/foo | jq -r '.[].Value' | base64 -d 
bar 


虽然 操作 稍微 复杂 一 点 ， 但 总 算是 成 功 了 。 
Consul 还 有 另 一 套 单独 的 API 用 于 添加 服务 ， 它 是 Consul 的 服务 发 现 和 健康 检查 功能 的 
一 部 分 。 一 般 情 况 下 ， 键 值 存 储 只 用 于 存储 配置 信息 和 少量 元 数据 。 
接 下 来 看 看 如 何 通过 Consul 服务 使 identidock 实现 跨 主机 工作 。 我 们 的 目标 是 保持 配置 与 
之 前 一 样 ， 即 Redis 运行 在 consul-2 上 ， 而 identidock 和 dnmonster 则 运行 在 consul-1 上 。 
首先 启动 Redis : 

$ eval $(docker-machine env consuL-2) 

$ docker run -d -p 6379:6379 --name redis redis:3 

































































2f79ea13628c446003ebe2ec4f20c550574c626b752b6ffa3b70770ad3elee6c 
现在 通过 /service/register 端点 告诉 Consul 我 们 的 Redis 服务 : 


$ curl -XPUT http://$HOSTA:8500/v1i/agent/service/register \ 
-d '{"name": "redis", "address":"'$HOSTB'","port": 6379}' 
$ docker run amouat/network-utils dig @172.17.42.1 +short redis.service.consul 


192.168.99.101 
接 下 来 ,为 了 使 Consul 能 够 用 作 DNS 解析 ， 需 要 对 consul-1 进行 配置 。 这 一 次 采取 与 
之 前 的 etcd 例子 不 一 样 的 方法 ， 我 们 不 会 改动 主机 上 的 /etc/resolv.conf 文件 ， 而 是 配置 


Docker 守护 进程 。 为 此 ， 需 要 修改 /var/lib/boot2docker/profile 文件 ， 并 把 --dns 和 --dns- 
search 选项 加 进去 : 











$ docker-machine ssh consul-1 

docker@consul-1:~$ sudo vi /var/lib/boot2docker/profile 
docker@consul-1:~$ cat /var/Lib/boot2docker/profitLe 
EXTRA_ARGS=" 

--label provider=virtualbox 


--dns 172.17.42.1 
--dns-search service.consul © 





注 9: 这 里 使 用 的 base64 是 GNU Linux 的 版 本 。 如 果 你 使 用 的 是 MacOS 的 版 本 ,那么 参数 -d 需要 改 为 -0。 
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CACERT=/var/Lib/boot2docker/ca.pem 
DOCKER_HOST=' -H tcp://0.0.0.0:2376' 
DOCKER_STORAGE=aufs 

DOCKER_TLS=auto 
SERVERKEY=/var/Lib/boot2docker/server-key.pem 
SERVERCERT=/var/Lib/boot2docker/server .pem 


@ 这 个 选项 允许 缩短 域名 ， 例 如 以 “redis” 代 替 全 名 “redis.service.consul 。 
现在 需要 重新 启动 守护 进程 并 启动 Consul。 我 认为 最 简单 的 方法 就 是 重启 虚拟 机 : 


docker@consul-1:~$ exit 

$ eval $(docker-machine env consuL-1) 
$ docker start consul 

consul 


快速 测试 一 下 : 


$ docker run redis:3 redis-cli -h redis ping 
PONG 


在 consuL-1 上 启动 dnmonster， 并 添加 服务 : 


$ docker run -d --name dnmonster amouat/dnmonster:1.0 





41c8a78989803737f65460d75f8bed1a3683ee5a25c958382alca87f27034338 
$ DNM_IP=$(docker inspect -f {{.NetworkSettings.IPAddress}} dnmonster) 
$ curl -XPUT http://SHOSTA:8500/v1/agent/service/register \ 

-d '{"name": "dnmonster", "address":"'$DNM_IP'","port": 8080}' 


最 后 ， 把 identidock 运行 起 来 : 
$ docker run -d -p 80:9090 amouat/identidock:1.0 


22cfd97bfba83dc31732886a4foaec51e637b8c7834c9763e943e80225f990ec 


$ curl SHOSTA 
<html><head><title>... 


与 之 前 一 样 ，identidock 已 经 无 需 使 用 Docker 连接 了 。 


Consul 最 有 趣 的 功能 之 一 称 为 健康 检查 ， 这 个 功能 确保 系统 的 各 个 部 分 都 是 活跃 的 ， 并 且 
正常 运作 。 我 们 可 以 针对 主机 布点 本 身 或 特定 的 服务 编写 测试 程序 (例如 检查 磁盘 空间 或 
内 存 )。 下 面 的 代码 定义 了 一 个 针对 dnmonster 服务 的 简单 HTTP 测试 ， 
$ curl -XPUT http://S$HOSTA:8500/v1i/agent/service/register \ 
-d '{"name": "dnmonster", "address":"'$DNM_IP'","port": 8080, 


"check": {"http": "http://'S$DNM_IP':8080/monster/foo", 
"interval": "10s"} 


让 











于 
这 个 测试 的 目的 是 为 了 确保 当 容 器 收 到 某 个 URL 的 HTTP 请 求 时 ， 能 够 返回 2xx 的 状态 
码 。 注 意 ， 这 个 测试 必须 运行 在 consul-1 上 才能 成 功 。 可 以 通过 访问 /health/checks/ 
dnmonster/ 端点 来 检查 测试 的 状态 : 


$ curl -s S$SHOSTA:8500/v1/health/checks/dnmonster | jq '.[].Status' 
"passing" 





测试 还 可 以 用 脚本 实现 ， 脚 本 的 返回 值 为 0 则 代表 测试 通过 。 使 用 脚本 的 好 处 是 能 够 实现 
复杂 的 测试 。 把 健康 检查 结合 Consul 的 监视 (watch) 功能 (用 于 检查 数据 更 新 ) 一 起 使 
用 ， 就 能 够 很 容易 地 实现 故障 切换 ， 并 在 问题 发 生 时 自动 通报 管理 员 。 


Consul 还 有 其 他 主要 功能 ， 其 中 包括 多 数据 中 心 的 支持 和 网 络 流量 加 密 。 


11.2.4 服务 注册 

在 前 面 的 范例 中 ， 服 务 发 现 的 最 后 一 步 “ 服 务 注册 ”是 手动 进行 的 ， 必 须 调 用 curl 发 送 请 
求 ， 把 Redis 和 dnmonster 注册 到 SkyDNS 和 Consul。 其 实 可 以 把 这 个 逻辑 放 入 Redis 和 
dnmonster 容器 中 , 使 它们 在 启动 时 自动 进行 注册 ”, 还 可 以 创建 一 个 负责 监听 Docker 事件 
的 服务 ， 当 它 发 现 容器 启动 时 ， 便 会 自动 进行 容器 注册 。 

这 就 是 Glider Labs 开发 Registrator (https://github.com/gliderlabs/registrator) 的 目的 。Registrator 
能 够 与 Consul、etcd 或 SKYDNS 配合 使 用 ， 实 现 容 器 的 自动 注册 。 它 的 工作 原理 是 监听 
Docker 事件 流 中 的 容器 创建 事件 ， 并 按 容器 的 元 数据 添加 相关 条 目 到 该 容器 所 使 用 的 框架 。 




































































基于 DNS 的 服务 发 现 的 优 缺 点 


这 里 介绍 的 许多 解决 方案 都 为 实现 服务 发 现 功能 提供 了 DNS 接口 。DNS 在 一 部 分 解 
决 方案 中 是 主要 的 ， 其 至 是 唯一 的 接口 ; 但 在 另 一 些 方案 中 ， 它 可 能 只 是 服务 本 身 所 
有 API 的 一 部 分 ， 仅 为 了 方便 而 提供 。 


服务 发 现 偏向 选择 DNS 有 以 下 几 个 主要 原因 。 


。 DNS 能 够 直接 支持 古老 的 应 用 程序 。 在 使 用 其 他 非 DNS 的 机 制 时 ， 虽 然 可 以 利用 
大 使 容器 来 解决 这 个 问题 ， 但 需要 开发 和 运营 团队 耗费 额外 的 精力 。 

。 开发 者 无 需 做 任何 特别 的 事情 ， 也 不 用 学 习 新 的 API。 使 用 DNS 的 应 用 程序 ,无 
需 修改 就 能 够 在 很 多 不 同 的 平台 上 运行 。 

。 DNS 是 一 个 为 人 熟悉 和 可 靠 的 协议 ， 已 有 多 种 实现 并 得 到 了 广泛 支持 。 


基于 DNS 的 服务 发 现 也 有 一 些 缺 点 ， 因 此 在 某 些 情 况 下 你 可 能 会 考虑 其 他 方案 。 一 般 
DNS 被 批评 速度 慢 ， 对 于 远程 查询 的 确 如 此 ， 但 对 我 们 来 说 却 问题 不 大 ， 因 为 服务 发 
现 的 使 用 场景 部 是 本 地 查询 ， 速 度 其 实 很 快 。 下 面 是 我 们 要 注意 的 其 他 问题 。 


。 普通 的 DNS 查询 不 会 返回 莫 口 信息 ,因此 要 么 自己 假定 ,要 么 通过 其 他 渠道 获得 (DNS 
SRYV 记录 确实 会 返回 端口 信息 ， 但 几乎 所 有 应 用 程序 和 框架 都 只 会 使 用 主机 名 )。 

。 应 用 程序 (包括 操作 系统 ) 可 能 会 缓存 DNS 的 响应 结果 ， 因 此 有 可 能 出 现 服务 被 
迁移 后 ， 客 户 端 还 没有 更 新 它 的 DNS 记录 的 情况 。 

。 大 多 数 的 DNS 服务 只 提供 健康 检查 和 负载 均衡 的 有 限 支 持 。 通 常 负载 均衡 的 做 法 
仅 限 于 循环 (round-robin) 或 随机 选择 ， 因 此 只 能 满足 部 分 用 户 。 健 康 检查 可 以 利 
用 TTL 实现 ， 但 更 复杂 和 更 深入 的 检查 通常 都 需要 更 多 的 服务 来 完成 。 

。 客户 广 可 以 自行 决定 使 用 哪个 服务 ， 选 择 标准 基于 API 版 本 或 容量 等 属性 。 














注 10: 如 果 我 们 不 希望 或 无 法 修改 容器 内 的 服务 ， 可 以 通过 一 个 封装 脚本 或 “side-kick” 进 程 来 完成 。 
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11.2.5 ”其 他 解决 方案 
下 面 还 有 许多 其 他 服务 发 现 方案 可 供 选 择 。 
ZooKeeper (https://zookeeper.apache.org/ ) 


ZooKeeper 是 一 个 可 靠 的 集中 式 存储 ， 它 作为 一 个 现成 的 软件 ， 已 被 Mesos 和 Hadoop 
用 于 服务 协调 。ZooKeeper 用 Java 编写 ， 使 用 时 需要 利用 Java API。 如 果 你 不 用 Java， 
现在 也 有 数 种 语言 的 绑 定 (binding) 可 用 。 客 户 端 需要 与 ZooKeeper 服务 器 维持 活跃 
连接 ， 并 保持 keep-alive 的 动作 ， 因 此 需要 不 少 的 编程 工作 [但 有 一 些 程序 库 ， 例 如 
Curator (https:Wcurator.apache.org) ， 可 以 帮助 你 来 完成 这 个 工作 ]。 


ZooKepper 的 主要 优点 是 成 熟 、 稳 定 且 千 锤 百 炼 。 如 果 你 已 经 有 基础 设施 正在 使 用 
ZooKeeper， 它 不 失 为 一 种 不 错 的 选择 。 否 则 ， 你 可 能 不 值得 把 精力 花 在 ZooKeeper 的 
集成 和 开发 工作 上 ， 尤 其 是 如 果 你 并 没有 使 用 Java。 

SmartStack (http://nerds.airbnb.com/ smartstack-service-discovery-cloud/ ) 
SmartStack 是 Airbnb 的 服务 发 现 解决 方案 。 它 由 两 部 分 组 成 : 负责 健康 检查 和 注册 
的 Nerve (https://github.com/airbnb/nerve)， 以 及 负责 处 理 服务 发 现 的 Synapse (https:// 
github.com/airbnb/synapse ) 。 
Synapse 运行 于 每 个 需要 使 用 服务 的 主机 上 ， 并 且 把 每 个 服务 分 配 到 一 个 端口 ， 代 理 
会 把 端口 对 应 到 实际 的 服务 。Synapse 利用 HAProxy (http://www.haproxy.org/) 负责 
路 由 ， 当 有 任何 变化 发 生 时 ， 它 便 会 自动 更 新 HAProxy 并 把 它 重新 启动 。 你 可 以 设置 
Synapse， 让 它 获 取 需 要 运行 代理 的 服务 列表 ， 可 以 从 存储 中 (例如 ZooKeeper 或 etcd) 
或 通过 监视 Docker 的 事件 流 中 出 现 的 容器 创建 事件 (类似 Registrator) 来 获取 。 
每 个 服务 都 会 有 一 个 相应 的 Nerve 进程 或 容器 ， 人 负责 检查 服务 的 健康 ， 以 及 自动 注册 到 
Synapse 所 使 用 的 存储 (例如 ZooKeeper 或 etcd)。 


Eureka ( https://github.com/Netflix/eureka/wiki ) 


Eureka 是 Netflix 用 于 AWS 的 负载 均衡 和 故障 切换 方案 。 它 的 设计 是 一 个 “中 间 层 ” 
方案 ， 以 应 对 AWS 节点 生命 周期 短暂 的 特性 。 如 果 你 打算 在 AWS 的 基础 设施 上 运行 
大 规模 的 服务 ， 它 绝对 是 值得 研究 的 方案 。 

WeaveDNS (https://www.weave.works/docs/net/latest/weavedns/ ) 


WeaveDNS 是 Weave 联网 方案 中 的 服务 发 现 组件 。 容 器 启动 的 时 候 会 把 它们 自己 的 主 
机 或 容器 名 称 注册 到 WeaveDNS， 这 样 就 能 提供 一 套 完整 的 自动 化 方案 。WeaveDNS 作 
为 Weave 路 由 器 的 一 部 分 运行 在 每 台 主 机 上 ， 通 过 与 网 络 上 的 其 他 Weave 路 由 器 互相 
通信 ， 因 此 它 能 够 解析 所 有 容器 的 名 称 。WeaveDNS 还 提供 了 简单 的 负载 均衡 。 更 多 信 
息 参 见 11.5.2 节 。 





























































































































docker-discover (http://jasonwilder.com/blog/2014/07/15/docker-service-discovery/) 


基本 上 它 是 SmartStack 以 Docker 实现 的 版 本 ， 以 etcd 作为 后 端 。 与 SmartStack 一 样 
它 由 两 部 分 组 成 : 一 个 是 docker-register (https://github.com/jwilder/docker-register)， 
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相当 于 Nerve 的 健康 检查 和 注册 组 件 ， 另 一 个 是 docker-discover， 相 当 于 Synapse 负 
责 服 务 发现 的 组 件 (https://github.com/jwilder/docker-discover)。docker-discover 与 
SmartStack 一 样 ， 都 是 使 用 HAProxy 处 理 路 由 。 虽 然 它 是 一 个 非常 有 趣 的 项 目 ， 但 由 
于 缺乏 更 新 和 组 织 支持 ， 可 能 只 会 有 零星 的 开发 活动 和 支持 。 


最 后 值得 一 提 的 是 ，Docker 即将 推出 全 新 的 联网 功能 (参见 11.4 节 )， 通 过 服务 对 象 
(service object) 提供 有 限 的 服务 发 现 。 而 这 种 服务 发 现 依赖 于 Docker 的 Overlay 联网 驱动 
程序 ， 或 其 他 兼容 插件 ， 如 Calico。 


11.3 联网 选项 


正如 前 文 所 述 ， 只 要 底层 的 网 络 允许 ,无论 是 通过 大 使 容器 还 是 服务 发 现 方案 ， 都 可 以 让 
服务 实现 跨 主机 连 线 。 然 而 ， 这 需要 在 主机 上 公开 端口 ， 涉 及 手动 管理 ， 因 此 不 利于 扩 
展 。 一 个 更 好 的 解决 方法 是 ， 在 容器 之 间 提 供 IP 连接 ， 而 这 正 是 本 章 将 要 介绍 的 方案 中 的 
点 


不 过 ,在 了 解 如 何 实现 一 套 完 整 的 跨 主 机 联网 方案 之 前 ， 有 必要 先 了 解 默 认 的 Docker 联网 
的 工作 原理 ， 以 及 其 中 有 哪些 选项 可 用 。Docker 有 四 个 可 用 的 基本 模式 : 网 桥 (bridge)、 
主机 (host)、 容 器 (container) 和 未 联网 (none ) 。 















































三 











默认 的 网 桥 网 络 在 开发 阶段 中 非常 有 用 ， 它 提供 了 一 个 无 痛 的 方式 ， 让 容器 能 够 互相 交谈 。 





11.3.1 网 桥 模式 
日 它 并 不 太 适用 于 生产 环境 ， 





图 11-5 显示 的 是 使 用 Docker 
网 





大 | 





为 在 网 桥 背 后 涉及 很 多 底层 工作 ， 会 导致 相当 大 的 开销 。 











网 


桥 ， 它 的 名 字 通 常 是 docker06， 地 址 一 般 为 172.17.42.1。 


桥 时 的 网 络 架构 。 图 中 有 一 个 用 于 连接 各 个 容器 的 Docker 


容器 启动 后 ，Docker 会 生成 一 


对 veth 接 


口 ， 本 质 上 相当 于 软件 实现 的 以 太 网 物理 连接 ，Docker 通过 veth 接口 把 容器 的 








ethg 连接 到 网 桥 。 外 部 连接 可 以 通过 全 伪装 (IP masquerading) 的 方式 提供 ，IP 伪装 是 
网 络 地 址 转换 (NAT) 的 一 种 方式 ,以 全 转发 (IP forwarding) 和 iptables 规则 建立 。 
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11-5: 默认 的 Docker 网 桥 联 网 
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默认 情况 下 ， 所 有 容器 都 可 以 互相 沟通 ， 无 论 是 否 已 被 连接 ， 也 无 论 是 否 已 导出 或 公开 端 
口 〈 参 见 13.7.2 节 中 的 例子 )。 为 了 禁止 这 个 行为 ， 可 以 在 Docker 守护 进程 启动 的 时 候 加 
上 --icc=false 参数 ， 这 个 参数 将 设置 一 个 iptables 规则 ， 把 容器 之 间 的 通信 关闭 。 如 果 同 
时 设置 了 --icc=false 和 --iptables=true， 那 么 只 有 已 连接 的 容器 才能 通信 ， 这 也 是 通过 
iptables 规则 实现 的 。 


以 上 所 讲 的 都 很 适合 开发 阶段 ， 但 如 果 考 虑 效率 的 话 ， 或 许 对 生产 环境 就 不 太 适 合 了 。 


11.3.2 主机 模式 

如 果 容 器 以 - -net=host 参数 启动 ， 那 么 它 便 会 共享 主机 的 网 络 命名 空间 ， 还 会 把 自己 暴露 
在 公 网 之 上 。 这 意味 着 容器 与 主机 必须 共用 同一 个 卫 地址， 不 过 这 就 减少 了 网 桥 模式 中 小 
及 的 底层 开销 ， 因 此 速度 与 常规 的 主机 网 络 一 样 快 。 

由 于 卫 地 址 是 共享 的 ， 需 要 互相 通信 的 容器 必须 预先 协定 使 用 哪些 端口 通信 ， 在 进行 配置 
的 时 候 必须 考虑 这 一 点 ， 而 且 可 能 还 需要 修改 程序 。 

这 个 模式 也 存在 安全 隐患 ， 你 可 能 会 无 意 中 把 某 些 端口 暴露 于 外 界 ， 不 过 可 以 使 用 防火 墙 
进行 监控 。 
由 于 这 个 模式 的 效率 有 显著 的 提升 ， 你 可 以 浪 虑 使 用 混合 的 联网 模型 ， 其 中 面向 外 部 网 络 
和 网 络 流量 大 的 容器 (譬如 代理 和 缓存 ) 可 以 使 用 主机 模式 ， 而 其 他 容器 则 使 用 内 部 网 络 
的 网 桥 模式 。 请 注意 ， 网 桥 网 络 上 的 容器 无 法 使 用 Docker 连接 与 主机 网 络 上 的 容器 互联 ， 
但 可 以 通过 dockerg 网 桥 的 王 地 址 互通 。 


11.3.3 ”容器 模式 


这 个 模式 使 用 另 一 个 容器 的 网 络 空 间 ， 在 某 些 情况 下 可 以 很 有 用 (例如 ， 当 你 已 有 一 个 配 
置 好 网 络 栈 的 容器 ， 而 你 想 告 诉 其 他 容器 使 用 这 个 栈 时 )。 这 个 模式 便于 创建 和 重复 使 用 
专 为 某 特 定 场景 或 数据 中 心 架构 而 建立 的 高 效 网 络 栈 。 但 它 的 缺点 是 ， 所 有 共享 同一 网 络 
栈 的 容器 将 使 用 相同 的 也 地址。 


它 在 某 些 情况 下 表现 出 色 ， 而 且 为 Kubernetes 所 采用 (参见 12.1.3 节 )。 


11.3.4 ”未 联网 模式 


顾名思义 ， 这 个 模式 意味 着 把 容器 的 网 络 完全 关闭 。 它 适合 无 需 任 何 联网 的 容 右 ， 例 如 一 
个 只 是 把 编译 结果 写 到 数据 卷 的 编译 器 容器 。 


如 果 你 打算 从 零 开始 搭建 你 的 网 络 架 构 ， 那 么 未 联网 模式 就 非常 有 用 了 。 如 果 你 正 准备 这 
样 做 ， 可 以 参考 像 pipework (https://github.com/jpetazzo/pipework) 这 样 的 工具 ， 它 对 处 理 
cgroup 和 命名 空间 的 网 络 设置 非常 有 用 。 


11.4 全 新 的 Docker 联 网 功能 


撰写 本 书 的 时 候 ，Docker 联网 栈 和 接口 正在 进行 大 规模 检修 。 到 本 书 付 印 时 ， 修 改 很 可 
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能 已 经 完成 ， 它 将 会 为 Docker 网 络 的 创建 和 使 用 带 来 重大 改变 (虽然 书 中 的 代码 应 该 能 
继续 工作 ) 。 这 一 节 会 根据 Docker 的 试验 版 来 了 解 其 中 将 会 发 生 的 变化 。 由 于 修改 尚未 完 
成 ， 这 里 介绍 的 内 容 可 能 与 正式 版 本 发 布 时 有 些许 出 入 。 


对 我 们 而 言 ， 影响 最 直接 的 改变 就 是 将 会 有 两 个 全 新 的 最 上 导 “对 象 ”， 分 别 是 网 络 
(network) 和 服务 (service)。 这 使 得 “网 络 ”" 的 创建 和 管理 从 容器 中 抽 离 。 当 容器 启动 
时 ， 它 可 以 被 分 配 到 某 个 网 络 ， 但 只 能 与 同一 网 络 中 的 其 他 容器 直接 联系 。 容 器 可 以 发 布 
服务 ， 并 人 允许 通过 名 称 寻 找 它 ， 从 而 取代 使 用 Docker 连接 的 必要 (虽然 Docker 连接 仍然 
可 用 ,但 用 途 将 会 减少 )。 

举 一 些 例子 就 更 好 理解 了 。 

network ls 子 命令 可 以 列 出 当前 网 络 及 其 ID: 


$ docker network ls 





















































NETWORK ID NAME TYPE 
d57af6043446 none null 
8fccQafef384 host host 
30fa18d442b5 bridge bridge 


启动 容器 的 时 候 ， 可 以 通过 --publish-service 参数 创建 服务 。 以 下 的 命令 在 网 桥 网 络 中 
会 创建 一 个 db 服务 : 


$ docker run -d --name redis1 --publish-service db.bridge redis 
9567dd9eb4fbd9f588a846819eclea9b71dc7b6cbd73ac7e90dc0d75a00b6f65 


通过 service 1s 子 命 令 可 以 查看 现 有 的 服务 : 


$ docker service ls 

SERVICE ID NAME NETWORK CONTAINER 

f87430d2f240 db bridge 9567dd9eb4fb 
现在 我 们 在 同一 网 络 创建 一 个 新 容器 ， 通 过 “db” 服 务 便 可 以 连接 至 redisl 容器 ， 而 无 需 
再 使 用 Docker 连接 : 


$ docker run -it redis redis-cli -h db ping 
PONG 


属于 不 同 网 络 的 容器 默认 无 法 通信 。 
如 果 使 用 Docker 连接 ， 可 以 看 到 它 其 实 是 在 背后 通过 建立 服务 实现 的 : 


$ docker run -d --name redis2 redis 
7fd526b2c7a6ad8a3faf4be9c1c23375dc5ae4cd17ff863a293c67df816a2b09 
$ docker run --link redis2:redis2 redis redis-cli -h redis2 ping 








PONG 

$ docker service ls 

SERVICE ID NAME NETWORK CONTAINER 
59b749c7fegb redis2 bridge 7fd526b2c7a6 
f87430d2f240 db bridge 9567dd9eb4fb 














注 11: 个 人 认为 “网 络 ” 一 词 容易 产生 误导 。 在 许多 方面 ，Docker 的 网 络 实际 上 只 是 容器 的 命名 空间 ， 可 
以 实施 分 组 和 隔离 ， 以 及 提供 通信 渠道 。 
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更 有 趣 的 是 ， 我 们 可 以 通过 service attach 和 service detach 两 个 子 命令 来 重新 分 配 提供 
服务 的 容器 : 


$ docker run redis redis-cli -h db set foo bar © 

OK 

$ docker run redis redis-cli -h redis2 set foo baz 骆 
OK 

$ docker run redis redis-cli -h db get foo 

bar 

$ docker service detach redis1 db 

$ docker service attach redis2 db 

$ docker run redis redis-cli -h db get foo © 


baz 
@ 往 redisi 添加 数据 ， 它 目前 正 提供 db 服务 。 
@ 往 redis? 添加 数据 。 


@ 现在 db 服务 已 由 redis2 提供 。 


于 是 可 以 看 到 ， 新 模型 在 容器 连接 和 系统 维护 方面 提供 了 更 高 的 灵活 性 和 更 多 的 监控 手 
段 ， 同 时 还 支持 以 前 的 网 络 连接 方式 。 


网 络 类 型 和 插件 

你 可 能 注意 到 了 网 络 具 有 不 同类 型 。” “传统 ”的 网 络 模式 ， 包 括 之 前 介绍 过 的 主机 、 未 
联网 及 网 桥 模 式 ， 它 们 各 自 都 有 一 种 类 型 。 除 此 之 外 ， 还 有 overlay 类 型 。 通 过 联网 插件 ， 
还 可 以 添加 新 的 类 型 。 默 认 使 用 的 网 络 可 以 在 Docker 守护 程序 中 设置 。 如 果 没 有 设置 默 
认 网 络 ， 那 就 使 用 网 桥 网 络 。 

插件 

添加 Docker 插件 ， 包 括 网 络 驱动 在 内 ，“， 只 需 安装 到 /usr/share/docker/plugins 目录 下 即 可 。 
一 般 的 做 法 是 运行 一 个 挂 载 这 个 目录 的 容器 。 

插件 可 以 用 任何 语言 编写 ， 只 要 它们 能 够 与 Docker 的 JSON-RPC (http://www.jsonrpc.org/) 
API 互通 。 

我 们 将 在 11.5.4 节 中 看 到 一 个 使 用 Project Calico 网 络 插件 的 例子 。 我 期 待 未 来 将 会 出 
现 各 式 各 样 使 用 不 同 底 层 技术 [如 IPVLAN (https://github.com/torvalds/linux/blob/master/ 


Documentation/networking/ipvlan.txt) 和 Open vSwitch (http://openvswitch.org/) ] 的 插件 
以 应 付 不 同 的 场景 。 


11.5 ”网络 解决 方案 


下 面 将 会 介绍 用 于 实施 跨 主机 联网 的 各 种 容器 集群 方案 。 其 中 包括 Overlay， 它 是 Docker 


























注 12: 也 被 称 为 网 络 驱 动 。 
注 13: 新 的 数据 卷 驱 动 也 可 以 通过 插件 加 载 ， 例 如 flocker (https://github.com/ClusterHQ/flocker-docker-plugin ) 。 
写 到 这 里 的 时 候 ， 最 上 层 的 数据 卷 对 象 的 创建 工作 正在 进行 ， 但 仍 需 要 一 段 时 间 才 能 取得 成 果 。 
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在 未 来 的 联网 栈 中 自 带 的 所 谓 “ 内 附 电 字 ”方案 ， 还 有 功能 丰富 且 便 于 使 用 的 Weave、 来 
自 CoreOS 的 Flannel， 以 及 Metaswitch 公司 基于 第 3 层 网 络 的 Calico 项 目 。 





Docker 的 联网 功能 还 处 于 非常 初级 的 阶段 ， 而 且 仍 在 不 断 变化 。 在 它 之 上 有 
一 个 非常 广阔 、 潜 力 巨大 的 发 展 空间 ， 有 待 各 式 各 样 的 解决 方案 出 现 以 针对 
不 同 的 使 用 场景 。 虽 然 本 书写 作 之 际 ， 这 里 介绍 的 工具 都 是 最 前 沿 的 ， 但 古 
这 个 领域 变化 极 快 ， 因 此 到 本 书 出 版 时 ， 这 些 方案 的 使 用 方法 会 有 所 改变 ， 
而 新 的 解决 方案 也 将 应 运 而 生 。 在 选择 使 用 哪个 方案 之 前 ， 你 应 该 先 对 目前 
可 用 的 方案 进行 研究 ， 之 后 再 作 决 定 。 














局 























11.5.1 Overlay 


Overlay 是 Docker 为 实现 跨 主 机 联网 而 开发 的 “内 附 电池 ”方案 。 它 使 用 VXLAN 隧道 来 
连接 主机 ， 主 机 有 自己 的 耳 地 址 空间 ， 外 网 的 连接 通过 NAT 实现 。 同 级 之 间 的 通信 采用 
了 serf (https://serfdom.io/) 程序 库 。 


连接 容器 至 Overlay 网 络 的 方法 与 标准 的 网 桥 网 络 大 臻 相同， 它们 同样 需要 建立 起 Linux 
网 桥 ， 并 需要 一 对 veth 接口 用 于 容器 之 间 互 相连 接 。 
注意 ， 这 里 使 用 的 是 试验 版 
范例 中 的 虚拟 机 使 用 的 Docker 为 试验 版 ， 因 此 它 与 你 使 用 的 版 本 必定 有 些 
差异 。 当 你 阅读 本 书 的 时 候 ，Docker 的 稳定 版 已 经 能 够 支持 网 络 插件 ， 你 应 
该 使 用 它 。 
范例 中 使 用 的 Docker 和 Consul 版 本 如 下 : 


docker@overlay-1:~$ docker --version 

Docker version 1.8.0-dev, build 5S5fdc102, experimental 
docker@overlay-1:~$ docker run gliderlabs/consul version 
ConsuL vO.5.2 

ConsuL ProtocoL: 2 (Understands back to: 1) 




















在 下 面 的 范例 中 ， 我 用 试验 版 分 支 里 的 Docker 部 署 了 两 台 主 机 ， 分 别 是 overlay-1 和 
overlay-2， 并 以 Consul 作为 键 值 存储 。 我 们 将 采用 与 之 前 相同 的 架构 部 署 identidock， 即 


F399 


Redis 运行 于 overLay-2， 而 dnmonster 和 identidock 容器 则 运行 于 overLay-1。 


本 书 出 版 之 时 ， 稳 定 版 应 该 也 能 够 基本 做 到 这 些 。 为 了 确保 Docker 客户 端 和 守护 进程 的 
版 本 一 致 ， 我 已 用 ssh 进入 虚拟 机 检查 过 。 


以 用 ssh 进入 overlay-2 作为 开始 : 


$ docker-machine ssh overlay-2 





首先 要 做 的 便 是 以 overlay 驱动 创建 一 个 名 为 “ovn ”的 新 网 络 : 


docker@overlay-2:~$ docker network create -d overLay ovn 
5d2709e8fd689cb4dee6acf7a1346fb563924909b4568831892dcc67e9359de6 
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docker@overlay-2:~$ docker network ls 


NETWORK ID NAME TYPE 
f7ae80f9aa44 none null 
1d4c071e42b1 host host 
27c18499f9e5 bridge bridge 
5d2709e8fd68 ovn overlay 


通过 network info 子 命令 可 以 获得 更 多 有 关 这 个 网 络 的 详细 信息 : 


docker@overlay-2:~$ docker network info ovn 

Network Id: 5d2709e8fd689cb4dee6acf7a1346fb563924909b4568831892dcc67e9359de6 
Name: ovn 

Type: overlay 








现在 是 时 候 启 动 Redis 了 ， 我 们 在 命令 中 加 上 --publish-service redis.ovn 参数 ， 代 表 
器 在 “ovn” 网 络 上 发 布 一 个 名 为 “redis” 的 服务 


docker@overlay-2:~$ docker run -d --name redis-ov2 \ 
--publish-service redis.ovn redis:3 


难 


29a02f672a359c5a9174713418df50c72e348b2814e88d537bd2ab877150a4a5 


如 果 现在 退出 overlay-2 并 通过 ssh 进入 overlay-1， 可 以 看 到 它 能 访问 相同 的 网 络 : 


docker@overlay-2:~$ exit 
$ docker-machine ssh overlay-1 
docker@overlay-1:~$ docker network ls 


NETWORK ID NAME TYPE 
7f9a4f144131 none null 
528f9267a171 host host 
dfec33441302 bridge bridge 
5d2709e8fd68 ovn overlay 





以 同样 的 方式 启动 dnmonster 和 identidock 容器 ， 使 用 --publish-service 连接 到 ovn 网 络 : 


docker@overlay-1:~$ docker run -d --name dnmonster-ov1 \ 
--publish-service dnmonster .ovn amouat/dnmonster:1.0 





37e7406613f3cbef0ca83320cf3d99aa4078a9b24b092f1270352ffQe1bf8f92 
docker@overlay-1:~$ docker run -d --name identidock-ovi \ 
--publish-service identidock.ovn amouat/identidock:1.0 


41f328a59ff3644718b8ce4f171b3a246c188cf80a6d0aa96b397500be33da5e 
最 后 检查 是 否 一 切 正 常 工作 : 


docker@overlay-1:~$ docker exec identidock-ov1 curL -s LocaLhost:9090 
<html><head><title>Hello... 


我 们 只 需 执行 简单 的 步 又， 便 能 快速 地 在 两 台 主机 上 实现 identidock 的 跨 主机 配置 。 由 于 
Overlay 驱动 的 实现 细节 和 使 用 方法 在 未 来 可 能 会 有 所 改变 ， 因 此 有 关 它 的 介绍 暂且 告 一 
段落 。 





11.5.2 Weave 


Weave (https://weave.works/) 是 一 个 开发 者 友好 的 联网 解决 方案 ， 它 的 设计 理念 是 希 望 开 
发 者 用 最 少 的 精力 就 能 把 它 应 用 在 各 种 不 同 的 环境 中 。Weave 也 许 是 现今 最 完整 的 方案 
因为 它 包 含 了 用 于 服务 发 现 和 负载 均衡 的 WeaveDNS， 自 带 IP 地 址 管理 系统 (IP address 
management，IPAM) ， 并 支持 加 密 通信 。 

接 下 来 看 看 利用 Weave 把 identidock 运行 在 两 台 主 机 上 有 多 么 容易 。 我 们 将 沿用 大 使 容 
器 和 服务 发 现 的 范例 中 曾经 使 用 过 的 架构 ， 即 Redis 运行 在 其 中 一 台 主 机 (weave-redis) 
上 ， 而 identidock 和 dnmonster 容器 则 运行 在 另 一 台 主 机 (weave-identidock) 上 。 同 样 ， 
我 们 将 利用 Docker machine 为 我 们 提供 虚拟 机 。 范 例 中 使 用 的 Weave 版 本 是 1.1.0， 如 果 
你 使 用 的 版 本 更 新 ， 那 么 操作 上 的 些许 差异 将 在 所 难免 。 


首先 来 构建 weave-redis 虚拟 机 : 


$ docker-machine create -d virtualbox weave-redis 

















然后 ssh 进去 并 安装 Weave: 


$ docker-machine ssh weave-redis 





docker@weave-redis:~$ sudo curl -sL git.io/weave -o /usr/LocaL/bin/weave 
docker@weave-redis:~$ sudo chmod a+x /usr/LocaL/bin/weave 
docker@weave-redis:~$ weave Launch 

Setting docker0 MAC (mitigate https://github.com/docker/docker/issues/14908) 
Unable to find image 'weaveworks/weaveexec:v1.1.0' locally 

v1.1.0: Pulling from weaveworks/weaveexec 


Digest: sha256:8b5e1b692b7c2cb9bff6f9ce87360eee88540fe32d0154b27584bc45acbbef0a 
Status: Downloaded newer image for weaveworks/weaveexec:v1.1.0 

Unable to find image 'weaveworks/weave:v1.1.0' locally 

v1.1.0: Pulling from weaveworks/weave 

Digest: sha256:c34b8ee7b72631e4b7ddca3e1157b67dd866cae40418c279f427589dc944fac0 
Status: Downloaded newer image for weaveworks/weave:v1.1.0 


上 面 的 命令 首先 从 网 站 下 载 Weave 程序 ， 然 后 下 载 数 个 提供 Weave 基础 设施 的 容器 并 启 
动 它 们 。 稍 后 将 深入 讨论 每 个 容器 负责 的 细节 。 
下 


























步 会 把 Docker 客户 端 从 原来 使 用 Docker 守护 进程 改 为 Weave 代理 。 这 样 做 是 为 了 在 
容器 启动 时 能 够 让 Weave 建立 一 些 用 于 联网 的 hook: 


docker@weave-redis:~$ eval $(weave env) 
现在 可 以 启动 Redis 容器 了 ， 它 将 自动 连接 到 Weave 的 网 络 : 


docker@weave-redis:~$ docker run --name redis -d redis:3 
Unable to find image 'redis:3' locally 
3: Pulling from redis 





> 








3c97d635be5107f5a79cafe3cfaf1960fa3d14eec3ed5fa80e2045249601583f 
docker@weave-redis:~$ exit 
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0 identidock 和 dnmonster 的 主机 了 。 这 一 次 选择 通过 docker-machine 执行 
ssh 命令 ， 而 不 是 自行 登录 进去 ， 这 样 配置 会 容易 一 些 。 首 先 创建 weave-identidock 虚拟 
机 并 安装 Weave: 


$ docker-machine create -d virtualbox weave-identidock 








$ docker-machine ssh weave-identidock \ 
"sudo curl -sL https://git.io/weave -o /usr/LocaL/bin/weave && \ 
sudo chmod a+x /usr/LocaL/bin/weave" 


一 次 ， 当 执行 weave Launch 的 时 候 ， 我 们 需要 提供 weave-redis 主机 的 IP: 


$ docker-machine ssh weave-identidock \ 

"weave Launch $(docker-machine ip weave-redis)" 
Unable to find image 'weaveworks/weaveexec:v1.1.0' locally 
v1.1.0: Pulling from weaveworks/weaveexec 


Digest: sha256:8b5e1lb692b7c2cb9bff6f9ce87360eee88540fe32d0154b27584bc45acbbef0a 
Status: Downloaded newer image for weaveworks/weaveexec:v1.1.0 

Unable to find image 'weaveworks/weave:v1.1.0' locally 

v1.1.0: Pulling from weaveworks/weave 

Digest: sha256:c34b8ee7b72631e4b7ddca3e1157b67dd866cae40418c279f427589dc944fac0 
Status: Downloaded newer image for weaveworks/weave:v1.1.0 


现在 应 该 检查 一 下 联网 是 否 成 功 。 我 们 会 ssh 进入 weave-identidock， 并 测试 能 否 访问 在 
weave-redis 上 运行 的 Redis 容器 。 请 注意 ， 为 了 使 用 Weave 代理 ， 我 们 同样 需要 设置 环 


境 变 量 : 











$ docker-machine ssh weave-identidock 


docker@weave-identidock:~$ eval $(weave env) 
docker@weave-identidock:~$ docker run redis:3 redis-cli -h redis ping 


PONG 
成 功 了 ! 在 完成 这 个 范例 之 前 ， 启 动 dnmonster 和 identidock 容器 ， 确 保 应 用 能 够 如 常 运行 


docker@weave-identidock:~$ docker run --name dnmonster -d amouat/dnmonster:1.0 








1bc9cdd5c3dd532d4f6a56529be8e2a068a9402c1e07df69ec33971f5c4b89b9 
docker@weave-identidock:~$ docker run --name identidock -d -p 80:9090 \ 
amouat/identidock:1.0 


9b5e9c89a7807bcad2cff49dc0692d0e8d064494288df5405a6573d886c0208d 
docker@weave-identidock:~$ exit 
$ curl $(docker-machine ip weave-identidock) 


<html><head>... 
$ curl -s $(docker-machine ip weave-identidock)/monster/gordon | head -c 4 
epPNO 
太 好 了 ， 我 们 成 功 实现 了 跨 主 机 的 联网 部 署 ， 而 且 容 器 名 称 都 是 通过 DNS 来 解析 的 ， 而 


最 重要 的 是 没有 使 用 任何 Docker 连接 。 
为 了 理解 Weave 如 何 运 作 ， 你 必须 对 Weave 启动 的 后 台 管 理 容器 有 所 了 解 : 





$ docker ps 


CONTAINER ID ... PORTS 
0b7693194bb9 
b6e515f4d02b 172.17.42.1:53->53/udp, 0.0.0.0:6783->6783/t... 





图 11-6 展示 了 identidock 及 以 上 的 Weave 管理 容器 。 


NAMES 
weaveproxy 
weave 





Weave-identidock Weave-redis 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


identidock 
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图 11-6: 运行 在 Weave 之 上 的 identidock 


这 两 台 主 机 运行 着 相同 的 Weave 镜像 ， 它 们 都 是 由 先前 的 weave launch 命令 启动 的 。 这 


些 容器 负责 Weave 基础 设施 的 不 同 部 分 。 


Weave 


这 个 容器 包含 Weave 路由器， 它 负 责 处 理 网 络 路 由 ， 以 及 在 Weave 网 





网 络 上 与 其 他 主机 


通信 。Weave 路 由 器 通过 TCP 与 其 他 主机 建立 通信 以 及 传递 网 络 拓扑 人 信息。 网络 流量 


则 通过 另外 建立 的 UDP 连接 传送 。Weave 路 由 器 随 着 时 间 能 够 学 习 区 





网 络 拓扑 ， 使 它们 


效 地 传送 数据 ， 以 及 在 无 需 与 所 有 主机 建立 连 线 的 情况 下 也 能 够 应 对 不 断 变化 的 网 
络 架 构 。 路 由 器 还 可 以 处 理 DNS 请 求 ， 使 开发 者 可 以 用 名 字 来 称呼 其 他 主机 上 的 容器 。 

















weaveproxy 





这 个 容器 的 神奇 之 处 在 于 ， 用 户 只 需 如 常 执行 docker run 命令 ， 便 可 让 容器 自动 加 入 
Weave 网 络 。 它 对 发 送 至 Docker 守护 进程 的 docker run 请 求 进行 拦截 ， 让 Weave 有 
机 会 改变 网 络 配置 和 更 改 启 动容 器 的 请 求 ， 从 而 使 容器 改 用 Weave 的 网 络 栈 。 这 些 步 
又 完成 之 后 ， 更 改 后 的 启动 请 求 便 会 转发 到 Docker 守护 进程 。 这 个 拦截 技术 通过 eval 
$(weave proxy-env) 命令 实现 ， 它 把 DOCKER_H0ST 环境 变量 改 为 指向 Weave 代理 ， 而 不 





是 真正 的 Docker 守护 进程 。 
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Weave 还 会 创建 一 个 weave 网 桥 ， 你 可 以 通过 ifconfig 命令 看 到 它 。 每 个 容器 ， 包 括 
Weave 路 由 器 ， 都 经 由 一 对 veth 接口 连接 到 这 个 网 桥 。 
Weave 可 以 把 容器 放 在 不 同 的 子 网 ， 以 隔离 不 同 的 应 用 程序 。 它 还 支持 信息 加 密 ， 使 
Weave 网 络 可 用 于 不 可 信任 的 网 络 连 接 。 有 关 Weave 的 架构 和 功能 的 完整 介绍 ， 请 参阅 官 
方 文档 (https://www.weave.works/docs/net/latest/introducing-weave/ bm 
Weave 的 重点 是 要 建立 卓越 的 开发 者 体验 ， 让 开发 者 无 需 大 费 周章 便 能 实现 容器 互联 和 跨 
主机 的 服务 发 现 。 

以 插件 方式 运行 Weave 

Weave 还 可 以 通过 Docker 的 插件 框架 运行 ， 从 而 取代 代理 容器 。 
在 撰写 这 本 书 的 上 时候， 插件 方式 还 有 一 些 限制 ， 主 要 是 由 于 联网 插件 的 API 
仍 在 开发 中 ， 无 法 为 Weave 和 其 他 联网 插件 提供 所 需 的 信息 以 及 hook。 例 
如 ， 当 集群 重启 后 ， 目 前 Weave 的 配置 信息 是 会 丢失 的 。 考 虑 到 这 一 点 ， 上 
面 给 出 的 操作 会 比较 可 取 。 
不 过 当 你 读 到 这 里 的 时 候 ， 这 些 问题 很 可 能 已 经 得 到 解决 。 






































11.5.3 Flannel 
Flannel (https://github.com/coreos/flannel) 是 来 自 CoreOS 的 一 个 跨 主 机 联网 解决 方案 。 它 
主要 用 于 以 CoreOS 为 基础 的 集群 ， 不 过 也 完全 可 以 用 在 其 他 的 栈 上 。 
Flannel 为 每 一 台 主 机 分 配 一 个 子 网 ， 然 后 按 子 网 给 容器 分 配 卫 地 址 。Flannel 与 
Kubernetes (参见 12.1.3 节 ) 搭配 使 用 时 效果 很 好 ， 它 可 以 为 每 个 pod 分 配 唯一 且 可 经 路 
由 传送 的 耳 。Flannel 会 在 每 台 主 机 上 运行 一 个 守护 进程 ， 并 从 etcd 取得 配置 (参见 11.2.1 
节 )， 因 此 集群 必须 已 经 配置 好 来 使 用 etcd。 它 有 一 系列 的 后 端 可 供 选 择 ， 列 举 如 下 。 
udp 
它 是 默认 的 后 端 ， 把 第 2 层 的 网 络 信息 封装 成 UDP 包 ， 在 现 有 的 网 络 上 传送 时 形成 一 
个 登 加 的 网 络 。 


vxlan 


使 用 VXLAN 封装 网 络 数据 包 。 由 于 这 个 工作 是 在 内 核 中 完成 ， 它 应 该 比 UDP 快 很 多 ， 
UDP 需要 经 过 用 户 空间 ，。 





aws-vpc 
用 于 在 Amazon EC2 上 设置 网 络 。 
host-gw 
使 用 远程 卫 地 址 设置 连接 子 网 的 全 路由。 要求 主机 之 间 在 第 2 层 网 络 已 有 连接 。 
gce 


用 于 在 Google Compute Engine 上 设置 网 络 。 
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与 之 前 一 样 ， 我 们 用 Docker Machine 来 学 习 如 何 使 用 Flannel， 但 这 次 有 点 复杂 ， 因 为 
Flannel 守护 进程 需要 在 Docker 引擎 运行 起 来 之 前 就 已 经 配置 好 flannel9 网 桥 ， 这 使 得 我 
们 不 太 容易 以 容器 方式 运行 Flannel。 为 了 解决 这 个 问题 ， 可 以 采用 一 些 不 太一 般 的 引导 
方式 ， 例 如 通过 第 二 个 Docker 守护 进程 执行 Flannel， 不 过 我 认为 直接 在 主机 上 运行 一 
个 flannel 的 进程 会 更 简单 。 此 外 ，Flannel 还 依赖 于 etcd， 我 们 也 会 以 单独 进程 的 方式 运 
行 etcd。 

坦白 来 讲 ， 这 个 用 例 不 太 适 合 使 用 由 Docker Machine 配置 的 虚拟 机 ， 因 为 它 涉及 很 多 配置 
步骤 ,其 中 还 需要 撤销 一 些 Docker Machine 已 做 好 的 配置 。 然 而 ， 这 个 练习 对 于 Flannel 
的 入 门 还 是 很 有 启发 性 的 ， 它 应 该 能 够 帮助 你 在 自己 的 网 络 设施 上 使 用 Flannel。 


Flannel 和 etcd 版 本 


这 些 范 例 中 使 用 的 etcd 和 Flannel 版 本 分 别 为 2.0.13 和 0.5.1。 由 于 Flannel 
的 开发 正 进行 得 如 火 如 茶 ， 如 果 你 使 用 的 版 本 较 新 ， 当 你 发 现 本 书 所 讲 的 和 
你 的 情况 有 所 不 同时 ， 请 不 要 感到 许 异 。 









































这 个 范例 中 将 设置 两 台 主机 ， 分 别 为 flanneL-1 和 flannel-2， 并 确保 当中 的 容器 能 够 互 
通 。 首 先 来 部 署 两 个 VirtualBox 虚拟 机 作为 我 们 的 主机 : 


$ docker-machine create -d virtualbox flannel-1 





$ docker-machine create -d virtualbox flannel-2 


$ docker-machine ip flannel-1 flannel-2 

192.168.99.102 

192.168.99.103 
你 要 记 住 每 台 机 器 的 全 地 址 ， 因 为 设置 etcd 时 需要 用 到 。 现 在 我 们 在 flannel-1 上 安装 
etcd， 但 必须 先 停止 Docker 守护 进程 并 删除 docker9 网 桥 : 


$ docker-machine ssh flannel-1 








docker@flannel-1:~$ sudo /usr/LocaL/etc/init.d/docker stop 
docker@flannel-1:~$ sudo ip Link delete docker0 


现在 下 载 并 解压 etcd: 


docker@flannel-1:~$ curl -sL https://github.com/coreos/etcd/releases/download/\ 
v2.0.13/etcd-v2.0.13-linux-amd64.tar .gz -0 etcd.tar.gz 
docker@flannel-1:~$ tar xzvf etcd.tar.gz 


然后 启动 etcd， 这 里 使 用 了 一 些 环境 变量 ， 使 命令 读 起 来 比较 容易 : 


docker@flannel-1:~$ HOSTA=192.168.99.102 

docker@flannel-1:~$ HOSTB=192.168.99.103 

docker@flannel-1:~$ nohup etcd-v2.0.13-Linux-amd64/etcd \ 
-name etcd-1 -initial-advertise-peer-urls http://$HOSTA:2380 \ 
-listen-peer-urls http://$HOSTA:2380 \ 
-listen-client-urls http://$HOSTA:2379,http://127.0.0.1:2379 \ 
-advertise-client-urls http://$HOSTA:2379 \ 
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-initial-cluster-token etcd-cLuster-1 \ 
-initial-cluster \ 

etcd-1=http://$HOSTA:2380,etcd-2=http://$HOSTB:2380 \ 
-initial-cluster-state new & 


nohup 命令 让 etcd 在 我 们 登 出 主机 后 还 能 继续 运行 。 所 有 输出 将 会 被 记录 在 nohup.out 文 
件 中 。 


现在 flannel-1 上 的 etcd 配置 工作 已 经 完成 。 当 flannel-2 的 配置 工作 也 完成 后 ， 我 们 就 
会 回 到 flannel-1 安装 Flannel。 





docker@flannel-1:~$ exit 

$ docker-machine ssh flannel-2 

docker@flannel-2:~$ sudo /usr/local/etc/init.d/docker stop 
docker@flannel-2:~$ sudo ip link delete docker0 

docker@flannel-2:~$ curl -sL https://github.com/coreos/etcd/releases/\ 
downLoad/v2.0.13/etcd-v2.0.13-Linux-amd64.tar.gz -0 etcd.tar.gz 
docker@flannel-2:~$ tar xzvf etcd.tar.gz 


启动 etcd 的 方法 和 之 前 一 样 ， 除 了 IP 地 址 被 互 换 了 : 


docker@flannel-2:~$ HOSTA=192.168.99.102 

docker@flannel-2:~$ HOSTB=192.168.99.103 

docker@flannel-2:~$ nohup etcd-v2.0.13-Linux-amd64/etcd \ 
-name etcd-2 -initial-advertise-peer-urls http://$HOSTB:2380 \ 
-listen-peer-urls http://$HOSTB:2380 \ 
-listen-client-urls http://$HOSTB:2379,http://127.0.0.1:2379 \ 
-advertise-client-urls http://SHOSTB:2379 \ 
-initial-cluster-token etcd-cLuster-1 \ 
-initial-cluster \ 

etcd-1=http://$HOSTA:2380,etcd-2=http://$HOSTB:2380 \ 
-initial-cluster-state new & 


现在 来 下 载 Flannel 吧 ， 


docker@flannel-2:~$ curL -sL https://github.com/coreos/flannel/releases/\ 
downLoad/v0.5.1/fLanneL-0.5.1-Linux-amd64.tar.gz -0 flannel.tar.gz 
docker@flannel-2:~$ tar xzvf flannel.tar.gz 


接 下 来 需要 在 etcd 中 添加 一 些 配置 来 告诉 Flannel 可 用 的 全 范围 : 


docker@flannel-2:~$ ./etcd-v2.0.13-linux-amd64/etcdctl 
set /coreos.com/network/config '{ "Network": "10.1.0.0/16" }' 


现在 就 可 以 启动 Flannel 的 守护 进程 了 。 请 注意 ， 我 们 需要 告诉 Flannel 使 用 ethi 接口 ， 基 
为 这 个 接口 可 以 与 其 他 虚拟 机 通信 : 


docker@flannel-2:~$ nohup sudo ./fLanneL-0.5.1/fLanneLd -iface=eth1 & 


Flannel 已 经 运行 起 来 了 ， 执 行 ifconfig 可 以 看 到 Flannel 的 网 桥 : 


docker@flannel-2:~$ ifconfig flannel0 

flannel0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-... 
inet addr:10.1.37.0 P-t-P:10.1.37.0 Mask:255.255.0.0 
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1472 Metric:1 
RX packets:4 errors:0 dropped:0 overruns:0 frame:0 




















ut 
































TX packets:4 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:500 
RX bytes:216 (216.0 B) TX bytes:221 (221.0 B) 


请 注意 ， 它 被 分 配 的 地 址 位 于 我 们 给 Flannel 配置 的 可 用 IP 范围 中 。 


下 一 步 要 做 的 就 是 配置 Docker， 使 其 能 够 使 用 Flannel。 如 果 你 使 用 不 同 的 虚拟 机 镜像 或 
者 是 裸 机 ， 那 么 可 以 使 用 与 Flannel 一 起 分 发 的 mk-docker-opts.sh 脚本 来 自动 配置 Docker。 
但 由 于 我 们 的 VirtualBox 镜像 中 没有 bash， 这 些 需要 我 们 来 手动 完成 。 首 先 来 看 一 下 
Flannel 为 我 们 创建 的 /run/flannel/subnet.env 文件 : 



































下 





docker@flannel-2:~$ cat /run/fLanneL/subnet.env 
FLANNEL_SUBNET=10.1.79.1/24 

FLANNEL_MTU=1472 

FLANNEL_IPMASQ=false 


我 们 需要 把 Docker 守护 进程 的 --bip 参数 设置 为 FLANNEL_SUBNET 的 值 ， 同 时 把 --mtu 参 
数 设置 为 FLANNEL_MTU 的 值 ， 这 样 做 是 为 了 告诉 Docker 使 用 与 Flannel 兼容 的 IP 地 址 和 
MTU", Docker 0 od 文件 中 配置 的 。 修 改 后 的 文 
件 如 下 (在 虚拟 机 中 可 以 通过 sudo vi 命令 进行 修改 ) : 


docker@flannel-2:~$ cat /var/Lib/boot2docker/profitLe 





EXTRA_ARGS=" 

--label provider=virtualbox 

--bip 10.1.79.1/24 

--mtu 1472 

CACERT=/var /lib/boot2docker/ca.pem 
DOCKER_HOST=' -H tcp://0.0.0.0:2376' 
DOCKER_STORAGE=aufs 

DOCKER_TLS=auto 
SERVERKEY=/var/Lib/boot2docker/server-key.pem 
SERVERCERT=/var/Lib/boot2docker/server .pem 


现在 可 以 重启 Docker 引擎 ; 


docker@flannel-2:~$ sudo /etc/init.d/docker start 
hostname: flannel-2: Unknown host 

Need TLS certs for flannel-2,,10.0.2.15,192.168.99.103 
docker@flannel-2:~$ exit 


最 后 ， 我 们 需要 在 flannel-1 上 重复 这 些 步骤 : 


$ docker-machine ssh flannel-1 


docker@flannel-1:~$ curL -sL https://github.com/coreos/flannel/releases/\ 
downLoad/v0.5.1/fLanneL-0.5.1-Linux-amd64.tar.gz -0 flannel.tar.gz 
v0.5.1/fLanneL-0.5.1-Linux-amd64.tar.gz -0 flannel.tar.gz 
docker@flannel-1:~$ tar xzvf flannel.tar.gz 


docker@flannel-1:~$ nohup sudo ./fLanneL-0.5.1/fLanneLd -iface=eth1 & 








注 14: MTU 是 指 最 大 传输 单元 (Maximum Transmission Unit)， 控 制 网 络 中 允许 的 数据 包 大 小 。 
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docker@flannel-1:~$ cat /run/fLanneL/subnet.env 
FLANNEL_SUBNET=10.1.83.1/24 ©@ 

FLANNEL_MTU=1472 

FLANNEL_IPMASQ=false 

docker@flannel-1:~$ sudo vi /var/tlib/boot2docker/profile 


docker@flannel-1:~$ sudo /etc/init.d/docker start 
hostname: flannel-1: Unknown host 

Need TLS certs for flannel-1,,10.0.2.15,192.168.99.102 
docker@flannel-1:~$ exit 


@ 注意 ， 这 个 值 必须 与 flannel-? 不 同 ， 这 样 两 个 主机 才能 为 容器 分 配 不 同 范 围 的 耳 地址。 


现在 ， 一 切 已 准备 就 绪 ， 让 我 们 确认 一 下 容器 之 间 是 否 能 够 互通 。 首 先 在 flannel-1 上 用 
Netcat 工具 监听 网 络 端口 : 














$ eval $(docker-machine env flannel-1) 
$ docker run --name nc-test -d amouat/network-utils nc -L 5001 


网 络 工具 容器 

当 网 络 出 现 问题 时 ， 为 了 能 够 进行 各 种 网 络 测试 ， 拥 有 一 个 包含 各 种 网 络 
工具 的 镜像 就 非常 方便 了 。 为 此 ， 我 已 经 构建 好 一 个 名 为 amouat/network- 
utils 的 镜像 。 它 包含 curl、Netcat、traceroute、dnsutils 等 工具 ， 甚 至 还 有 
jq， 方 便 将 REST API 的 JSON 输出 排列 整齐 。 


这 是 其 中 一 个 用 法 示范 : 






































$ docker run -it amouat/network-utils 
root@7e80c9731ea0:/# curL -s https://api.github.com\ 
/repos/amouat/network-utils-container\ 

| jq '. .description' 
"Docker container with some network utilities" 


然后 找 出 Flannel 分 配给 容器 的 IP 地址: 


$ IP=$(docker inspect -f {{.NetworkSettings.IPAddress}} nc-test) 
$ echo $IP 
10.1.83.2 


你 会 发 现 这 个 卫 地 址 是 在 我 们 之 前 设置 的 地 址 范围 内 。 现 在 ， 让 我 们 在 flannel-2 上 启动 
Netcat 并 尝试 连接 至 nc-test 容器 : 

$ eval $(docker-machine env flannel-2) 

$ docker run -e IP=$IP \ 


amouat/network-utils sh -c 'echo -n "hello" | nc -v $IP 5001" 
Unable to find image 'amouat/network-utils:latest' locally 


Status: Downloaded newer ;image for amouat/network-utils:latest 
Connection to 10.1.83.2 5001 port [tcp/*] succeeded! 


如 果 打 开 nc-test 容器 的 日 志 ， 那 么 可 以 看 到 刚才 发 送 的 消息 : 





$ eval 5$(docker-machine env flannel-1) 
$ docker Logs nc-test 
hello 


关于 Flannel 的 介绍 就 到 此 为 止 。 我 们 实现 了 两 个 分 别 使 用 自己 的 全 地 址 的 容器 ， 它 们 在 
不 同 的 主机 上 进行 通信 。 虽 然 好像 花 了 很 多 工夫 才 做 到 这 一 点 ， 但 请 记 住 ， 未 来 这 些 操作 
都 有 望 实现 自 动 化 ， 当 新 主机 加 入 集群 时 就 无 需 再 重复 这 些 步 又 ， 而 且 那 时 使 用 CoreOS 
栈 的 用 户 应 能 享受 到 开 箱 即 用 的 体验 。 

然而 现在 identidock 还 没有 运行 起 来 。 虽 然 我 们 实现 了 跨 主 机 的 联网 ， 但 还 没有 服务 发 现 ， 
这 需要 使 用 之 前 介绍 过 的 方案 ,例如 SkyDNS ， 或 重 写 identidock 以 便 使 用 etcd。 





11.5.4 ” ”Calico 项 目 


Calico 项目 (以 下 简称 Calico) 的 联网 方式 稍 有 不 同 ， 为 便于 理解 ， 这 里 从 OSI 模型 
(https://en.wikipedia.org/wiki/JOSI_model) 的 角度 来 解释 。 概 念 上 来 讲 ，OSI 模型 把 网 络 分 
成 7 个 层 。 大 多 数 的 联网 方案 ， 例 如 Weave 和 Flannel ( 当 使 用 UDP 后 端 时 )， 都 是 把 第 2 
层 “ 数 据 封 装 , 形成 一 个 在 现 有 的 网 络 上 又 加 的 网 络 。 而 Calico 使 用 标准 的 全 路 由 和 网 络 
工具 ， 提 供 一 个 第 3 层 “ 的 方案 。 

纯粹 的 第 3 层 解 决 方案 的 主要 优点 是 简单 和 高 效 。Calico 的 主要 操作 模式 不 涉及 封装 ， 专 
为 有 能 力 控制 物理 网 络 架 构 的 机 构 在 数据 中 心 内 使 用 。Calico 网 络 的 路 由 使 用 边界 网 关 协 
议 (Border Gateway Protocol，BGP) 建立 ，BGP 是 一 个 历史 悠久 的 网 络 协议 ， 它 支撑 着 整 
个 互联 网 ， 在 这 里 它 被 用 于 连接 数据 中 心 网络 内 部 和 边缘 的 路 由 器 。 这 种 方法 使 Calico 能 
够 用 在 各 种 各 样 的 第 2 层 和 第 3 层 的 物理 拓扑 之 上 。 对 外 连接 也 无 需 使 用 NAT， 只 要 安全 
政策 允许 和 了 P 网 络 可 用 ， 容 器 就 能 直接 连 至 公共 卫 。 

Calico 的 缺点 是 它 的 主要 模式 不 能 在 公有 云 上 使 用 ， 因 为 用 户 无 法 控制 它 的 网 络 架 构 。 不 
过 ，Calico 仍然 可 以 在 公有 云 上 使 用 ， 但 通常 需要 IP-in-IP 隧道 来 提供 连接 。 

另外 值得 一 提 的 是 Calico 的 安全 模型 ， 它 对 容器 之 间 能 否 互 相通 信 提 供 了 细 粒 度 的 控制 。 
注意 ， 这 里 使 用 的 是 试验 版 

范例 中 的 虚拟 机 使 用 的 Docker 为 试验 版 ， 因 此 它 与 你 使 用 的 版 本 必定 存在 
些许 差异 。 当 你 正 阅 读本 书 的 时 候 ，Docker 的 稳定 版 已 经 能 够 支持 网 络 插 
件 ， 你 应 该 使 用 它 。 

为 了 完整 起 见 ， 接 下 来 的 范例 使 用 的 都 是 由 以 下 命令 部 署 的 Digital Ocean 虚 
拟 机 : 


$ docker-machine create -d digitalocean \ 
--digitalocean-access-token=<token> \ 
--digitalocean-private-networking \ 
--engine-install-url \ 




































































注 15: OSI 模型 中 的 “数据 链 路 层 ”(data link layer) ，MAC 地 址 属于 这 一 层 。 
注 16: OSI 模型 中 的 “网 络 层 ” (network layer) ，IPv4 和 IPv6 属于 这 一 层 。 
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"https://experimentaL.docker .com'"” calico-1 


$ docker-machine create -d digitalocean \ 
--digitalocean-access-token=<token> \ 
--digitalocean-private-networking \ 
--engine-install-url \ 
"https://experimental.docker.com" calico-2 


$ docker-machine ssh calico-1 
root@calico-1:~# docker -v 
Docker version 1.8.0-dev, build 3eelS5ac, experimental 


我 还 在 其 中 一 台 主 机 上 手动 安装 了 Consul，Docker 守护 进程 需要 它 来 共享 网 
络 配置 信息 。 
当 你 读 到 这 里 的 时 候 ， 很 多 东西 将 已 改变 ， 你 要 做 好 心理 准备 ， 这 里 的 范例 
需要 少许 改动 才能 工作 。 不 要 试图 使 用 和 我 一 样 的 Calico 和 Docker 版 本 ， 
你 应 该 使 用 当前 最 新 且 仍 在 维护 的 稳定 版 。 




































































下 面 假设 有 两 个 由 Docker Machine 配置 的 虚拟 机 ， 分 别称 为 catlico-1 和 calico-2， 它 们 
可 以 在 <calico-1 ipv4> 和 <calico-2 ipv4> 地 址 上 互相 通信 (地 址 可 以 是 内 网 的 ， 也 不 必 
能 够 从 互联 网 访问 得 到 )。 这 里 我 使 用 的 是 Digital Ocean 的 云 服务 ， 但 其 他 云 服务 也 应 该 
都 差不多 。 


首先 需要 做 的 就 是 在 每 台 主 机 上 配置 etcd， 因 为 Calico 采用 etcd 作为 主机 之 间 共 享 网络 信 
息 的 工具 : 























HOSTA=<calico-1 ipv4> 

HOSTB=<calico-2 ipv4> 

eval $(docker-machine env calico-1) 

docker run -d -p 2379:2379 -p 2380:2380 -p 4001:4001 \ 

--name etcd quay.io/coreos/etcd \ 

-name etcd-1 -initial-advertise-peer-urls http://${HOSTA}:2380 \ 
-listen-peer-urls http://0.0.0.0:2380 \ 

-listen-client-urls http://90.0.0.0:2379,http://0.0.0.0:4001 \ 
-advertise-client-urls http://${HOSTA}:2379 \ 
-initial-cluster-token etcd-cLuster-1 \ 

-initial-cluster \ 
etcd-1=http://${HOSTA}:2380,etcd-2=http://${HOSTB}:2380 \ 
-initial-cluster-state new 


LT LT Lm LT 


b9a6b79e42a1d24837090de4805bea86571b75a9375b3cf2100115e49845e6f3 
$ eval $(docker-machine env calico-2) 
$ docker run -d -p 2379:2379 -p 2380:2380 -p 4001:4001 \ 
--name etcd quay.io/coreos/etcd \ 
-name etcd-2 -initial-advertise-peer-urls http://${HOSTB}:2380 \ 
-listen-peer-urls http://0.0.0.0:2380 \ 
-listen-client-urls http://0.0.0.0:2379,http://0.0.0.0:4001 \ 
-advertise-client-urls http://${HOSTB}:2379 \ 
-initial-cluster-token etcd-cLuster-1 \ 
-initial-cluster \ 
etcd-1=http://${HOSTA}:2380,etcd-2=http://${HOSTB}:2380 \ 





-initial-cluster-state new 
2aa2d8feelgaec4284b9b85a579d96ae92bagfle210fb36da2249f31e556a65e 
现在 etcd 已 经 启动 ， 可 以 开始 安装 Calico。 当 你 读 到 这 里 的 时 候 ， 这 些 步骤 可 能 已 经 有 点 
过 时 ， 但 大 致 应 该 差不多 。 首 先是 下 载 Calico: 
$ docker-machine ssh calico-1 


root@calico-1:~# curl -SSL -0 calicoctl \ 
https://github.com/Metaswitch/calico-docker/releases/download/vO.5.2/calicoctl 
root@calico-1:~# chmod +x calicoctl 


Calico 需要 一 些 由 xt_set 内 核 模块 提供 的 IP tables 功能 ， 因 此 需要 加 载 它 


root@calico-1:~# modprobe xt_set 


我 们 需要 告诉 Calico 可 分 配 的 卫 地 址 范围 ， 这 可 以 通过 pool add 子 命令 来 完成 : 


root@calico-1:~# sudo ./calicoctl pooL add 192.168.0.0/16 --ipip --nat-outgoing 


--ipip 参数 告诉 Calico， 主机 之 间 需 要 建立 IP-in-IP 隧道 ， 当 主机 之 间 没 有 直接 的 
连接 时 ， 便 需要 使 用 这 个 参数 。 这 个 命令 只 需 在 一 台 主 机 上 运行 。 


下 一 步 便 是 启动 Calico 服务 ， 其 中 包括 Docker 的 联网 插件 ， 它 将 以 容器 运行 : 


root@calico-1:~# sudo ./calicoctl node --ip=<calico-1 ipv4> 
WARNING: ipv6 forwarding is not enabled. 

Pulling Docker image calico/node:vO.5.1 

Calico node is running with id: d72f2eb6f10ea24a76d606e3ee75bf. . . 


现在 以 同样 方式 配置 另 一 台 主 机 ; 


$ docker-machine ssh calico-2 

















root@calico-2:~# curl -SSL -0 calicoctl 
https://github.com/Metaswitch/calico-docker\ 
/releases/download/vO.5.2/calicoctl 

root@calico-2:~# chmod +x calicoctl 

root@calico-2:~# modprobe xt_set 

root@calico-2:~# sudo ./calicoctl node --ip=<calico-2 ipv4> 
WARNING: ipv6 forwarding is not enabled. 

Pulling Docker image calico/node:vO.5.1 

Calico node is running with id: b880fac45feb7ebf3393ad4ce63011a2... 
root@calico-2:~# 





现在 可 以 再 一 次 启动 identidock 程序 。 首 先 在 calico-2 上 启动 Redis， 执 行 命令 时 需要 加 
上 --publish-service de a 参数 ， 它 的 作用 是 创建 一 个 全 新 的 Calico 网 络 ， 
名 叫 “anet”， 以 及 一 个 “redis” 服 务 : 


root@calico-2:~# docker run --name redis -d \ 
--publish-service redis.anet.calico redis:3 














6f0db3fe01508c0d2fc85365db8d3dcdf93edcdaae1lbcb146d34ab1a3f87b22f 
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如 果 现在 登录 到 calico-1， 你 会 发 现 可 以 连接 到 相同 的 网 络 ， 而 且 能 够 访问 Redis 容器 : 
root@calico-2:~# exit 
$ docker-machine ssh calico-1 
root@calico-1:~# docker run --name redis-client \ 
--publish-service redis-client.anet.calico \ 
redis:3 redis-cli -h redis ping 
PONG 
现在 让 我 们 在 同一 网 络 上 启动 dnmonster 和 identidock 容器 : 


root@calico-1:~# docker run --name dnmonster \ 
--publish-service dnmonster.anet.calico -d amouat/dnmonster:1.0 


fba8f7885a2e1700bcoe263cc10b7d812e926ca7447e98d9477a08b253cafeg0 
root@calico-1:~# docker run --name identidock \ 
--publish-service identidock.anet.calico -d amouat/identidock:1.0 


589f6b6b17266e59876dfc34e15850b29f555250a05909a95ed5ea73c4ee7115 
是 时 候 测 试 一 下 我 们 的 应 用 了 : 


root@calico-1:~# docker exec identidock curl -s LocaLhost:9090 
<html><head><title>Hello... 


太 棒 了 ， 我 们 已 经 成 功利 用 Calico 把 identidock 跑 起 来 了 。 刚 才 我 们 只 是 在 容器 内 访问 
identidock， 因 为 客户 端 必须 也 在 Calico 的 网 络 内 。 当 然 ， 使 应 用 能 够 从 其 他 网 络 访问 是 完 
全 可 行 的 ， 壁 如 互联 网 ， 但 这 样 做 需要 更 多 配置 ， 而 这 部 分 在 未 来 有 可 能 会 改变 ， 因 此 和 暂 
且 略 过 0° 


Calico 的 实现 有 赖 于 它 背 后 的 一 些 组 件 。 


























etcd 
用 于 存储 和 发 布 主机 以 及 容器 的 信息 。 
BIRD 


BIRD 互联 网 路 由 守护 进程 (The BIRD Internet Routing Daemon) ”利用 BGP 实现 主机 和 
容器 之 间 的 全 通信 路 由 。 


Felix 


它 是 一 个 运行 在 每 台 计 算 主 机 上 的 Calico 代理 程序 ， 利 用 来 自 etcd 的 数据 配置 本 地 网 
络 策略 。 
Calico 插件 
当 Docker 容器 创建 时 ， 负 责 建立 网 络 连接 ， 并 把 容器 记录 在 etcd 中 。 






































注 17: 据 我 所 知 ，BIRD 中 的 B 并 不 代表 任何 词 ， 它 只 是 以 一 种 令 人 讨厌 的 递归 方式 代表 BIRD 这 个 词 。 
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目前 ，Calico 把 重点 放 在 机 构 能 够 控制 网 络 架构 的 使 用 场景 ， 例 如 大 型 企业 的 私有 云 ， 为 
虚拟 机 及 容器 提供 高 效 和 相对 简单 的 联网 技术 。 同 时 ，Calico 插件 为 使 公有 云 上 的 容器 能 
够 互联 而 提供 类 似 的 解决 方案 。 


11.6 ”总结 


服务 发 现在 现今 的 分 布 式 和 动态 系统 中 往往 是 必 不 可 少 的 功能 。 容 器 和 服务 都 会 不 断 变 
化 ， 它 们 会 因 需 求 或 故障 而 被 停止 、 启 动 和 迁移 。 考 虑 到 这 些 情况 ， 需 要 手动 更 改 路 由 的 
解决 方案 是 行 不 通 的 。 

我 们 接触 过 的 大 多 数 服务 发 现 方案 都 能 支持 基于 DNS 的 查找 操作 ， 客 户 端 只 需 以 名 字 称 
呼 服务 ， 系 统 便 负责 把 客户 端 连 接 到 相应 的 服务 实例 。 对 于 客户 端 以 及 现 有 的 应 用 程序 和 
工具 而 言 ， 支 持 这 种 做 法 非常 简单 ， 但 在 高 度 动态 的 系统 中 ，DNS 则 可 能 是 个 负担 。DNS 
的 响应 一 般 会 被 缓存 ， 当 服务 在 主机 之 间 迁 移 时 ， 将 会 导致 延迟 和 错误 发 生 。 负 载 均衡 一 
般 充 其 量 使 用 循环 的 方式 ， 大 部 分 情况 下 并 不 是 一 个 理想 的 选择 。 此 外 ， 客 户 端 可 能 希望 
能 够 以 自己 的 逻辑 在 可 用 的 服务 中 选择 合适 的 ， 如 果 系 统 能 够 提供 丰富 的 API， 实 现 这 个 
功能 就 简单 多 了 。 

使 用 哪 一 种 服务 发 现 工具 较为 合适 ， 在 很 大 程度 上 取决 于 你 的 用 例 。 对 于 大 多 数 项 目 而 
言 ， 使 用 的 相关 工具 依 项 目的 软件 需求 或 已 使 用 的 平台 而 定 ( 辟 如 ， 因 Mesos 而 使 用 
ZooKeeper， 因 GKE 而 使 用 etcd) 。 如 果 你 属于 这 种 情况 ， 使 用 已 有 的 工具 比较 合适 ， 最 
好 不 要 再 把 其 他 工具 拉 进 来 。 在 etcd (或 etcd 加 上 SkyDNS) 和 Consul 之 间作 出 选择 要 
困难 得 多 。 两 者 都 属于 比较 新 的 项 目 (etcd 时 间 稍 微 长 一 点 )， 但 底层 都 使 用 了 可 靠 的 算 
法 。Consul 默认 包含 DNS 支持 和 一 些 先 进 的 功能 ， 这 往往 使 它 成 为 更 好 的 选择 。 如 果 把 
etcd 与 Consul 进行 比较 ，etcd 可 以 说 不 会 强迫 你 去 按照 它 的 那 一 套 行事 ， 而 且 它 的 键 值 存 
储 更 先进 ， 因 此 在 需要 大 量 定制 的 场景 下 ， 它 可 能 是 一 个 更 好 的 选择 。 如 果 你 的 程序 使 用 
API 来 寻找 服务 ， 或 者 你 使 用 的 联网 解决 方案 已 经 能 够 提供 服务 名 称 解析 ， 那 么 Consul 和 
SkyDNS 提供 的 DNS 支持 对 你 来 说 可 能 就 不 太 重 要 了 。 


相对 来 说 ， 选 择 一 个 合适 的 联网 解决 方案 更 困难 ， 主 要 原因 是 这 方面 的 技术 还 不 太 成 熟 。 
在 未 来 的 数 个 月 内 ， 将 会 有 更 多 的 解决 方案 面世 (尤其 是 以 联网 插件 的 形式 )， 而 它们 之 
间 的 差异 化 应 该 会 更 明显 。 到 目前 为 止 ， 我 还 没有 对 任何 解决 方案 进行 性 能 和 扩展 性 测 
试 ， 因 为 我 预计 随 着 供应 商 对 程序 的 优化 ， 以 及 针对 特定 用 例 作出 的 改良 ， 将 来 的 测试 结 
果 将 会 大 大 不 同 。 话 虽 如 此 ， 从 当前 的 解决 方案 来 看 ， 我 持 下 列 观点 。 


。 Docker 的 Overlay 联网 方案 很 有 可 能 成 为 开发 过 程 中 最 常用 的 ， 只 因 它 是 Docker 默认 
自 带 的 “内 附 电池 ”方案 。 观 平 它 未 来 的 稳定 性 和 效率 ， 它 可 能 也 适用 于 云端 上 的 小 规 
模 部 署 。 

。 Weave 的 重点 集中 于 易 用 性 和 开发 者 体验 ， 这 使 它 成 为 开发 过 程 中 另 一 个 不 错 的 选择 。 
Weave 还 包括 加 密 和 罕 透 防火 墙 等 功能 , 使 它 在 诸如 跨 云 端的 部 署 的 情况 下 非常 有 吸引 力 。 

。 Flannel 被 应 用 于 CoreOS 的 栈 中 , 它 针对 不 同 场 景 提供 了 专门 的 后 端 。 撰 写本 书 的 时 候 ， 
在 开发 环境 中 使 用 Flannel 可 能 会 大 费 周章 ( 随 着 插件 的 开发 ， 这 个 情况 应 有 所 改变 )， 
但 在 一 些 生 产 环 境 中 ， 它 能 提供 高 效 并 简单 的 解决 方案 。 
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。 Calico 项 目 主要 服务 于 那些 能 够 控制 自己 的 网 络 结构 的 大 型 机 构 或 数据 中 心 。 在 这 些 场 
景 中 ，Calico 项 目 基于 第 3 层 网 络 实现 的 技术 ， 可 以 提供 一 个 既 简 单 又 高 效 的 解决 方案 。 
不 仅 如 此 ，Calico 项 目的 网 络 插件 看 起 来 不 仅 易 用 ， 而 且 速度 还 不 错 ， 这 使 它 在 开发 环 
境 和 单一 云 平 台 的 部 署 中 具有 非凡 的 吸引 力 。 

。 你 可 以 选择 建立 一 套 自己 的 方案 。 运 维 人 员 有 时 候 请 楚 地 知道 ， 为 了 提高 效率 ， 各 部 件 
应 如 何 连接 起 来 。 这 种 情况 下 ， 你 可 以 创建 自己 的 联网 插件， 或 使 用 pipework 这 种 工 
具 加 入 特别 的 底层 逻辑 。 你 还 可 以 使 用 容器 或 主机 联网 模式 ， 因 为 它们 没有 Docker 网 
桥 和 NAT 规则 带 来 的 开销 ， 不 过 所 有 容器 必须 共享 IP 地 址 。 

究竟 什么 是 正确 的 选择 ， 很 大 程度 取决 于 你 的 特定 需求 和 你 所 使 用 的 平台 。 你 可 能 会 发 

现 ， 某 些 解决 方案 的 运行 速度 比 其 他 的 更 快 或 更 慢 ， 或 者 能 够 实现 别 的 方案 实现 不 了 的 用 

例 。 没 有 任何 方法 比 实际 测试 更 管用 ， 我 建议 把 你 的 应 用 程序 的 运行 场景 复制 至 测试 环 

境 ， 然 后 尝试 应 用 不 同 的 解决 方案 ， 以 找 出 最 合适 的 一 个 。 
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大 多 数 软 件 系 统 都 会 随 着 时 间 演 变 。 新 的 功能 会 添加 ， 旧 的 功能 会 删 减 。 不 断 改 变 的 用 户 
需求 ， 意 味 着 一 个 高 效 的 系统 必须 能 够 把 资源 快速 向 上 和 向 下 扩展 。 近 平 零 停机 时 间 的 要 
求 ， 意 味 着 发 生 故 障 时 需要 能 够 自动 切换 到 已 预先 部 署 的 备份 系统 ， 而 系统 通常 位 于 其 他 
的 数据 中 心 或 地 区 。 

除 此 之 外 ， 机 构 经 常 运行 着 多 个 这 样 的 系统 ， 或 需要 执行 一 些 不 经 常 运行 并 与 主 系统 分 开 
的 任务 ， 例 如 数据 挖掘 ， 而 这 些 任务 需要 相当 多 的 资源 ， 或 需要 与 现 有 的 系统 通信 。 

当 使 用 多 个 资源 时 ， 我 们 需要 确保 资源 得 到 有 效 利用 而 不 是 被 有 内置， 同时 仍然 能 够 应 付 瞬 
间 的 需求 高 峰 ， 这 是 非常 重要 的 。 在 成 本 效益 与 快速 扩展 能 力 之 间 取 得 平衡 是 一 项 艰难 的 
任务 ， 所 幸 的 是 解决 方法 有 很 多 种 。 

上 述 这 一 切 意味 着 ， 即 使 运行 一 个 稍微 复杂 一 点 的 系统 ， 也 已 经 涉及 很 多 管理 任务 并 充满 
了 挑战 ， 其 中 的 复杂 度 不 容 小 舰 。 很 快 你 就 会 发 现 ， 为 每 一 个 机 器 单独 进行 管理 是 不 现实 
的 ， 与 其 逐一 给 机 器 打 补 本 和 更 新 ， 不 如 对 它们 进行 统一 管理 。 当 一 台 机 器 出 了 问题 时 ， 
你 应 该 销毁 和 更 换 它 ， 而 不 是 “调养 ”并 使 它 恢复 正常 。' 

现今 已 有 各 式 各 样 的 软件 工具 和 人 解决 方案 来 协助 我 们 面 对 这 些 挑 战 ， 它 们 大 致 涵盖 以 下 
方面 。 
集群 (Clustering) 


把 “主机 ”组 合并 通过 网 络 连接 起 来 ， 虚 拟 机 或 裸 机 丝 可 。 集 群 看 起 来 应 该 像 一 个 单一 
资源 ， 而 不 是 一 组 互 不 相干 的 机 器 。 



















































































注 1: 这 两 种 思路 巡 异 的 做 法 ， 通 常 被 比喻 为 “宠物 与 牲口 ”(pets versus cattle ) 。 
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编排 (Orchestration ) 


协调 各 组 件 使 它们 共同 和 运作。 在 适合 的 主机 上 启动 容器 并 把 它们 连接 起 来 。 编 排 系统 也 
可 能 包括 扩展 的 支持 、 自 动 故障 切换 ， 以 及 节点 的 负载 均衡 。 


管理 (Management) 
监督 系统 及 支持 各 种 管理 任务 。 


本 章 首 先 会 介绍 Docker 生态 系统 中 主要 的 编排 和 集群 工具 : Swarm、fleet、Kubernetes 和 
Mesos。Swarm 是 Docker 自 带 的 集群 解决 方案 ， 很 大 程度 上 还 能 解决 编排 方面 的 难题 ， 特 
别 是 与 Docker Compose 一 起 使 用 时 。Fleet 是 CoreOS 使 用 的 一 个 底层 集群 与 调度 系统 。 
Kubernetes 是 一 个 层次 更 高 的 编排 方案 ， 它 的 设计 要 求 你 按照 它 的 规则 行事 ， 默 认 支 持 故 
障 切 换 和 扩展 功能 ， 并 可 以 在 其 他 集群 方案 之 上 运行 。Mesos 是 一 个 底层 的 集群 解决 方案 ， 
它 与 更 高 层次 的 “框架 ”搭配 使 用 ， 以 提供 一 个 稳健 和 完整 的 集群 和 编排 解决 方案 。 
之 后 还 会 介绍 几 个 “容器 管理 平台 ”， 包 括 Rancher、Clocker 和 Tutum， 并 为 跨 主机 的 容器 
系统 提供 了 管理 界面 (包括 GUI 和 CLI)。 这 些 平台 一 般 利 用 之 前 介绍 过 的 基础 组 件 ， 例 
如 Overlay 联网 方案 ， 不 过 这 些 平台 会 把 不 同 组 件 整 合成 一 个 集成 的 产品 。 

这 一 章 的 代码 可 以 在 本 书 的 GitHub (https://github.com/using-docker/orchestration) 

上 找到 。 

可 以 通过 以 下 命令 获取 这 一 章 的 代码 : 


$ git clone -b \ 
https://github.com/using-docker/orchestration/ 










































































除 此 之 外 ， 也 可 以 从 GitHub 的 项 目 页 面 直接 下 载 代码 。 


12.1 集群 和 编排 工具 


本 节 将 研究 可 用 于 Docker 的 主要 集群 和 编排 工具 ， 包 括 Swarm、fleet、Kubernetes 和 Mesos。 
本 节 将 会 介绍 每 一 个 工具 的 独特 功能 ， 以 及 如 何 将 其 运用 到 我 们 的 identidock 范例 中 。 














12.1.1 Swarm 


Swarm (https://docs.docker.com/swarm/) 是 Docker 自 带 的 集群 工具 。Swarm 使 用 标准 的 
Docker API， 也 就 是 说 ， 容 器 可 以 通过 正常 的 docker run 命令 启动 ，Swarm 会 在 运行 容器 
时 负责 选择 合适 的 主机 。 这 也 意味 着 ， 其 他 使 用 Docker API 的 工具 和 定制 的 脚本 ， 无 需 任 
何 修改 便 能 使 用 Swarm， 享受 从 单一 主机 架构 转变 为 集群 的 便利 。 


Swarm 的 基本 架构 相当 简单 :每 台 主 机 上 运行 一 个 Swarm 的 代理 (agent) ， 以 及 在 一 台 主 
机 上 运行 一 个 Swarm 的 主管 (manager， 对 于 小 规模 的 测试 集群 ， 这 台 主 机 也 可 以 同时 运 
行 代理 )。 主 管 负责 所 有 主机 上 容器 的 编排 和 调度 。Swarm 能 够 以 高 可 用 性 模式 运行 ， 通 
过 利用 etcd、Consul 或 ZooKeeper， 使 得 故障 发 生 时 能 够 切换 到 备份 的 主管 主机 。Swarm 
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把 寻找 主机 和 将 主机 加 入 集群 称 为 发 现 〈discovery)， 这 个 功能 有 好 几 种 实现 方法 ， 其 中 
默认 使 用 的 是 基于 令 牌 (token) 的 方法 ， 它 会 把 主机 的 地 址 保存 在 Docker Hub 的 一 个 列 
表 :E; 


本 书写 作 时 ，Swarm 的 版 本 是 0.4， 仍 在 开发 中 。 值 得 注意 的 是 ， 它 没有 跨 主 机 的 联网 功 
能 ， 因 此 任何 已 连接 的 容器 必须 在 同一 主机 上 运行 。 不 过 这 个 问题 很 可 能 在 你 读 到 这 里 的 
时 候 已 经 解决 了 ， 跨 主机 联网 的 功能 将 通过 与 仍 处 于 开发 阶段 的 联网 插件 集成 来 实现 。 


为 了 能 快速 上 手 Swarm， 让 我 们 来 建立 一 个 小 型 的 虚拟 机 集群 。 下 面 将 利用 Docker 
Machine 创建 虚拟 机 ， 并 通过 默认 的 令 牌 发 现 方法 把 它们 连接 起 来 。 首 先 需要 执行 swarm 
create 命令 ， 为 集群 创建 一 个 令 牌 : 


$ SWARM_TOKEN=$(docker run swarm create) 
$ echo SSNARM_TOKEN 
26a4af8d51e1lcf2ea64dd625ba51a4ff 


现在 可 以 创建 主管 (或 叫 作 master) 的 主机 : 


$ docker-machine create -d virtuaLbox \ 
--engine-label dc=a \ 
--Swarm --swarm-master \ 
--swarm-discovery token://$SWARM_TOKEN \ 
swarm-master 
Creating VirtualBox VM... 
Creating SSH key... 
Starting VirtualBox VM... 
Starting VM... 
To see how to connect Docker to this machine, run: docker-machine env swarm-ma... 


Docker Machine 创建 了 一 个 新 的 VirtualBox 虚拟 机 ， 名 为 swarm-master ， 并 以 之 前 生成 的 
今 牌 加 入 Swarm 集群 。 我 们 还 给 主机 上 的 Docker 引擎 附 上 dc=a 标签 ， 之 后 会 解释 这 样 做 
的 目的 。 接 着 要 创建 另外 两 个 虚拟 机 来 组 成 我 们 的 集群 ， 名 字 分 别 为 swarm-1 和 swarm-2: 


$ docker-machine create -d virtuaLbox \ 
--engine-label dc=a \ 
--swarm \ 
--swarm-discovery token://SSWARM_TOKEN \ 
swarm-1 





























也 





























$ docker-machine create -d virtuaLbox \ 
--engine-label dc=b \ 
--swarm \ 
--swarm-discovery token://SSWARM_TOKEN \ 
swarm-2 


注意 ，swarm-1 的 标签 是 dc=a， 而 swarm-2 的 标签 是 dc=b。 
我 们 可 以 通过 Docker Hub 的 API， 手 动 验 证 这 些 节 点 是 否 已 被 加 入 集群 : 
$ curl https://discovery-stage.hub.docker.com/v1/cLusters/SSNARM_TOKEN 


["192.168.99.103:2376","192.168.99.102:2376","192.168.99.101:2376"，, 
"192.168.99.100:2376"] 
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命令 中 列 出 的 中 地 址 是 我 们 创建 的 虚拟 机 地 址 ， 只 需 Swarm 主管 能 够 访问 便 可 。 也 可 
以 通过 执行 swarm list 命令 获得 同样 的 信息 (适用 于 任何 服务 发 现 方法 )。 你 可 以 下 载 
Swarm 的 二 进 制程 序 来 执行 它 ， 但 最 简单 的 方法 其 实 还 是 使 用 Swarm 镜像 ， 如 同 我 们 在 
创建 令 牌 时 所 做 的 : 

$ docker run swarm list token://$SWARM_TOKEN 

192.168.99.108:2376 


192.168.99.109:2376 
192.168.99.107:2376 


12-1 展示 了 我 们 创建 的 一 个 简单 集群 。 标 签 dc=a 和 dc=b 分 别 表示 数据 中 心 A 和 数据 中 
心 B。 虽 然 把 两 个 在 笔记 本 电脑 上 运行 的 虚拟 机 当 作 数据 中 心 ， 就 如 同 把 蚊子 当 作 喷气 式 
飞机 ， 但 作为 例子 已 经 绰绰有余 。 你 还 可 以 利用 类 似 的 命令 ， 把 强大 的 云 资 源 很 轻松 地 添 
加 到 你 的 集群 中 。 
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12-1: Swarm 集群 示例 





Swarm 的 服务 发 现 功能 


默认 的 基于 令 牌 的 发 现 功 能 对 于 快速 上 手 非 常 有 用 ， 但 却 有 一 个 明显 的 缺点 ， 那 就 是 
要 求 所 有 主机 必须 能 够 访问 Docker Hub， 这 是 个 单 点 故障 的 潜在 风险 。 


另外 还 有 其 他 可 用 的 发 现 机 制 ， 可 以 只 是 简单 地 向 Docker 管理 程序 提供 IP 地 址 列表 ， 
也 可 以 使 用 分 布 式 存储 ， 如 etcd、Consul 和 ZooKeeper 等 。 


服务 发 现 方法 的 完整 信息 参见 文档 (https://docs.docker.com/swarm/discovery/) 。 











现在 把 Docker 客户 端 连接 至 Swarm 主管 ， 看 看 docker ;info 告诉 我 们 什么 : 
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$ eval $(docker-machine env --swarm swarm-master) 
$ docker info 

Containers: 4 

Images: 3 

Role: primary 

Strategy: spread 

Filters: affinity, health, constraint, port, dependency 
Nodes: 3 

swarm-1: 192.168.99.102:2376 

- Containers: 1 

- Reserved CPUs: 0/1 

- Reserved Memory: 0 B / 1.022 GiB 

- Labels: dc=a, executiondriver=native-0.2, 
swarm-2: 192.168.99.103:2376 

- Containers: 1 

- Reserved CPUs: 0/1 

- Reserved Memory: 0 B / 1.022 GiB 

- Labels: dc=b，executiondriver=native-0.2， 
swarm-master: 192.168.99.101:2376 

- Containers: 2 

上- Reserved CPUs: 0 / 1 

Reserved Memory: © B / 1.022 GiB 

- Labels: dc=a, executiondriver=native-0.2, 
CPUs: 3 

Total Memory: 3.065 GiB 


返回 的 结果 包括 一 些 集群 的 详细 资料 ， 以 及 我 们 创建 的 3 个 主机 (Swarm 中 称 之 为 “ 节 
点 ”")。 每 个 节点 运行 着 一 个 连接 到 集群 的 Swarm 代理 容器 ，swarm-master 节点 运行 着 一 个 
用 于 管理 集群 的 Swarm 主管 容器 。 在 生产 环境 中 ， 不 建议 把 代理 和 主管 运行 在 同一 个 节点 
Nee ee erate 


现在 就 来 测试 一 下 我 们 的 集群 吧 ! 


$ docker run -d debian sleep 10 ©O 
ebce5d18121002f35b2666da4dd2dce189ece9573c8ebeba531d85f51fbad8e8 

















$ docker ps 
CONTAINER ID IMAGE COMMAND ... NAMES 
ebce5d181210 debian "sleep 10" ... swarm-1/furious_bell 














@ 这 个 命令 将 会 下 载 debian 镜像 ， 因 此 需要 化 一 些 时 间 完成 。 与 Swarm 集群 通信 时 ， 你 
是 不 会 看 到 下 载 进度 的 。 
可 以 看 到 ， 容 器 已 经 成 功 创建 ， 而 且 已 自动 安排 在 swarm-1 主机 上 。 虽 然 它 看 似 平淡 无 奇 ， 


其 实 它 做 了 很 多 事情 。 首 先 ，Swarm 在 背后 拦截 我 们 的 请 求 ， 然 后 对 集群 进行 分 析 ， 最 后 
把 请 求 转发 至 最 合适 的 主机 。 


1. 过 滤器 


过 滤器 (filter) 的 作用 是 控制 哪些 节点 可 用 于 运行 容器 ， 有 儿 种 过 滤器 是 默认 使 用 的 。 我 
们 可 以 尝试 启动 一 些 nginx 容器 ， 看 看 其 中 一 个 默认 过 滤器 如 何 运 作 : 
$ docker run -d -p 80:80 nginx 


6d571cQacaa926cea7194255617dcd384375c105b0285ef657c911fb59c729ce 
$ docker run -d -p 80:80 nginx 
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CONTAINER ID IMAGE ... PORTS NAMES 

ab542c443c05 nginx 192.168.99.102:80->80/tcp, 443/tcp swarm-1/mad_eng... 

7b1cd5dade7d nginx 192.168.99.101:80->80/tcp, 443/tcp swarm-master/co... 

6d571c0acaa9 nginx 192.168.99.103:80->80/tcp, 443/tcp swarm-2/elated_... 
1 经 把 每 一 个 nginx 容器 放 在 了 不 同 的 主机 上 。 如 果 尝 试 启动 第 四 个 容 
器 ， 将 会 发 生 什么 

$ docker run -d -p 80:80 nginx 

Error response from daemon: unable to find a node with port 80 available 
其 中 一 个 默认 过 滤器 是 端口 (port)， 当 容器 要 求 使 用 主机 上 的 某 个 特定 端口 时 ， 过 滤器 会 
安排 容器 到 一 个 端口 未 被 占用 的 布点 。 由 于 启动 第 四 个 容器 时 ， 所 有 主机 的 80 端口 已 被 
占用 ，Swarm 拒绝 了 这 个 请 求 。 
约束 (constraint) 过 滤器 可 按键 值 对 挑选 可 用 的 节点 子 集 。 可 以 通过 先前 为 主机 设置 的 标 
签 来 了 解 它 的 运作 方式 ; 

$ docker run -d -e constraint:dc==b postgres 

e4d1b2991158cff1442a869e087236807649fe9f907d7f93fe4ad7dedc66c460 

$ docker run -d -e constraint:dc==b postgres 

704261c8f3f138cd590103613db6549da75e443d31b7d8e1c645ae58c9ca6784 

docker ps 

CONTAINER ID IMAGE ... NAMES 

704261c8f3f1 postgres swarm-2/berserk_yalow 

e4d1b2991158 postgres swarm-2/nostalgic_ptolemy 
两 个 容器 都 被 安排 在 swarm-2 上 ， 因 为 它 是 唯一 的 标签 为 dc=b 的 主机 。 为 了 证 明 这 一 点 ， 


7b1cd5dade7de5bed418d360c03be72d615222b95e5f486d70ce42af5f9e825c 
$ docker run -d -p 80:80 nginx 
ab542c443c05c40a39450111ece852e9f6422ff4ff31864f84f2e0d0e6697605 
$ docker ps 












































我 们 也 可 以 使 用 constraint:dc==a 或 constraint:dc!=b.: 


$ docker run -d -e constraint:dc==a postgres 
62efba99ef9e9f62999bbae8424bd27da3d57735335ebf553daec533256b01ef 


$ docker ps 

CONTAINER ID IMAGE ... NAMES 

62efba99ef9e postgres swarm-master/dreamy_noyce 
704261c8f3f1 postgres swarm-2/berserk_yalow 
e4d1b2991158 postgres swarm-2/nostalgic ptolemy 








可 以 看 到 ， 容 器 被 安排 在 swarm-master 上 ， 因 为 它 的 标签 是 dc=a。 


约束 过 


件 上 
其 他 





























(例如 constraint:disk==ssd 或 constraint:gpu==true) 启动 。 


的 过 滤器 还 包括 以 下 几 种 。 











滤器 也 可 用 于 过 让 各 种 主机 信息 ， 例 如 主机 名 、 存 储 驱动 和 操作 系统 。 
这 个 过 滤器 还 可 以 安排 容器 在 特定 的 地 域 (例如 constraint:region!=europe) 或 特定 的 硬 





健康 状况 (health) 
只 安排 容器 运行 在 “健康 的 ”(healthy) 主机 上 。 
依赖 关系 (dependency) 
编排 容器 时 会 把 依赖 它 的 其 他 容器 一 同安 排 〈 例 如 ， 与 它 共享 数据 卷 的 容器 ， 或 互相 连 
接 的 容器 ， 将 会 被 安排 在 相同 的 主机 上 运行 )。 
关联 (affinity) 
允许 用 户 定义 容器 与 其 他 容器 或 主机 之 间 的 “吸引 度 ”。 例 如 ， 可 以 指定 容器 必须 与 某 


个 已 存在 的 容器 共同 安排 在 一 台 主 机 上 ， 或 指定 容器 只 能 在 已 经 下 载 7 某 个 镜像 的 主机 
上 运行 。 



































约束 与 关联 的 表达 式 语法 
关联 过 滤器 和 约束 过 滤器 的 表达 式 可 以 使 用 == 运 算 符 (表示 节点 必须 匹配 的 值 ) 
或 != 运 算 符 (表示 节点 不 能 匹配 的 值 ) 。 
其 中 还 可 以 使 用 正则 表达 式 和 匹配 模式 。 例 如 : 


$ docker run -d -e constraint:region==europe* postgres © 
$ docker run -d -e constraint:node==/swarm-[12]/ postgres © 


@ 容器 将 在 region (区 域 ) 标签 以 europe 开头 的 主机 上 运行 。 
@ 容器 将 在 名 为 swarm-1 或 swarm-2 的 主机 上 运行 (但 不 能 是 swarm-master)。 
此 外 ,，“ 非 强制 性 的 ”约束 或 关联 可 以 在 值 的 前 面 以 ~ 表示， 调度 器 会 尝试 满足 这 个 规 
则 ， 但 如 果 无 法 满足 ， 它 仍然 会 在 无 法 匹配 规则 的 资源 上 运行 容器 ， 而 不 是 以 失败 告 
终 。 例 如 : 

$ docker run -d -e constraint:dc==~a postgres 
这 个 命令 将 首先 尝试 在 标签 为 dc=a 的 主机 上 运行 容器 ， 但 如 果 该 主机 已 不 能 使 用 ， 它 
仍然 会 在 其 他 主机 上 运行 。 











2. 策略 
假设 在 过 滤 条 件 应 用 后 ， 得 到 多 台 可 用 的 主机 ，Swarm 将 如 何 为 容器 选择 呢 ? 答案 是 取决 
于 所 选 的 策略 。 以 下 是 一 些 可 供 使 用 的 策略 。 


分 散 (spread) 

将 容器 放置 在 负载 最 小 的 主机 上 。 

集 装 (binpack) 

将 容器 放置 在 负载 最 多 且 还 有 可 用 空间 的 容器 上 。 
随机 (random) 

将 容器 随机 安排 在 任何 主机 上 。 
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分 散 策略 使 容器 均匀 地 分 布 到 所 有 主机 上 。 这 种 方法 的 主要 优点 是 ， 当 主机 停机 时 ， 受 影 
响 的 容器 数量 将 降 到 最 少 。 集 装 策略 将 会 尽 可 能 利用 主机 ， 从 而 优化 机 器 的 使 用 率 。 随 机 
策略 主要 用 于 调试 。 

目前 来 看 ，Swarm 最 适合 小 型 至 中 型 规模 ， 大 概 是 几 十 至 几 百 台 主 机 的 部 署 。 如 果 和 希望 
在 更 庞大 的 集群 上 运行 Swarm， 可 以 考虑 将 Swarm 与 Mesos 整合 ， 这 样 就 能 利用 Swarm 
API 在 Mesos 的 基础 设施 上 启动 容器 ， 而 且 Mesos 已 被 证 实 能 够 稳定 地 扩展 至 成 千 上 万 台 
主机 的 规模 。 


删除 虚拟 机 
这 一 章 中 使 用 Docker Machine 来 创建 大 量 的 虚拟 机 。 由 于 它们 占用 大 量 浓 
源 ， 当 你 完成 了 一 个 例子 之 后 ， 务 必 把 它们 停止 并 且 删 除 。 为 此 ，Docker 
Machine 提供 了 很 简单 的 命令 : 

$ docker-machine stop swarm-master 


$ docker-machine rm swarm-master 
Successfully removed swarm-master 


























Swarm 的 主要 优点 是 ， 它 只 使 用 直接 的 Docker API， 这 就 意味 着 你 可 以 把 大 型 的 工作 负载 
或 应 用 程序 迁移 到 另 一 个 集群 ， 或 改 为 跨 集群 的 方式 执行 。 如 果 使 用 Mesos 或 Kubernetes， 
会 导致 你 的 架构 将 难以 移植 。 

















12.1.2 fleet 


feet (https://coreos.com/fleet/) 是 出 自 CoreOS 的 集群 管理 工具 。 它 标榜 自己 为 一 个 “底层 
的 集群 引擎 "， 也 就 是 说 ， 它 希望 成 为 一 个 为 上 层 应 用 (如 Kubernetes) 提供 服务 的 “ 基 
础 层 ”。 

fleet 最 显著 的 特点 是 ， 它 的 建立 是 基于 systemd (https://wiki.freedesktop.org/www/Software/ 
systemd/) 之 上 。 虽 然 systemd 用 于 给 单一 机 器 提供 系统 和 服务 的 初始 化 支持 ， 但 feet 把 
它 延伸 至 计算 机 集群 。fleet 读 取 systemd 的 单元 (unit) 文件 ， 然 后 把 它 安 排 在 集群 中 的 一 
台 或 多 台 机 器 上 运行 。 

fleet 的 技术 架构 如 图 12-2 所 示 。 每 台 机 器 运行 一 个 引 掌 (engine) 和 代理 (agent)。 无 论 
何 时 ， 集 群 中 只 有 一 个 运作 中 的 引擎 ， 但 所 有 代理 都 在 不 断 运行 (为 了 方便 绘图 ， 运 作 中 
的 引擎 没有 与 机 器 放 在 一 起 ， 但 实际 上 它 运行 于 其 中 一 台 机 器 上 )。systemd 单元 文件 (以 
下 简称 单元 ，unit) 会 被 提交 到 引擎 ， 引 擎 会 把 作业 安排 在 “负载 最 少 ” 的 机 器 上 。 单 元 
文件 通常 只 会 负责 运行 容器 ， 而 代理 则 负责 启动 单元 以 及 报告 状态 。etcd 被 用 于 辅助 建立 
机 器 之 间 的 通信 ， 以 及 保存 集群 和 单元 的 状态 。 

这 个 架构 的 设计 能 够 支持 容错 处 理 ， 如 果 一 台 机 器 出 现任 何 状况 ， 那 么 所 有 被 安排 在 该 机 
器 上 的 单元 将 在 新 的 主机 上 重新 启动 。 

fleet 支持 各 种 调度 的 提示 和 限制 。 最 基本 的 层面 上 ， 可 以 把 单元 安排 为 全 局 单元 ， 即 运行 
在 所 有 机 器 上 的 一 个 实例 ， 也 可 以 安排 它 为 只 在 一 台 机 器 上 运行 的 单一 单元 。 全 局 调度 非 
常 适合 工具 类 的 容器 ， 辟 如 日 志 记 录 和 监控 等 服务 。 它 还 支持 各 种 关联 类 型 的 约束 。 例 如 ， 
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可 以 安排 执行 健康 检查 的 容器 只 与 应 用 服务 器 在 一 起 。 也 可 以 把 用 于 调度 的 元 数据 与 主机 
关联 ， 让 你 可 以 指示 容器 运行 在 某 一 区 域 的 机 器 上 ， 或 运行 在 已 安装 某 些 硬 件 的 机 器 上 。 
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图 12-2: fleet 总 体 架构 





由 于 fleet 是 基于 systemd 的 ， 它 也 支持 套 接 字 激 活 (socket activation) 的 概念 〈 即 当 基 个 
特定 端口 上 有 连接 发 生 时 ， 容 器 便 会 启动 )。 这 样 做 的 主要 好 处 在 于 ， 进 程 可 以 在 需要 时 
才 创 建 ， 而 无 需 朵 置 着 等 待 事情 发 生 。 关 于 套 接 字 的 管理 ， 理 论 上 还 有 其 他 好 处 ， 例 如 在 
容器 多 次 重启 之 间 ， 消 息 不 会 丢失 。 

接 下 来 看 一 下 如 何 将 identidock 运行 在 feet 的 集群 上 。 我 在 这 个 范例 中 创建 了 一 个 GitHub 
项 目 ， 其 中 包含 了 一 个 Vagrant 模板 ， 用 于 启动 3 个 虚拟 机 : 


$ git clone https://github.com/amouat/fleet-vagrant 



































$ cd fleet-vagrant 
$ vagrant up 


$ vagrant ssh core-01 -- -A 
Core0S alpha (758.1.0) 


现在 已 经 启动 了 一 个 包含 3 个 虚拟 机 的 集群 ， 所 有 虚 拟 机 均 使 用 CoreOS， 并 且 Flannel 
( 详 见 11.5.3 节 ) 和 fleet 都 已 安装 妥当 。 可 以 使 用 feet 的 命令 行 工 具 fleetctl 获取 集群 中 
的 机 器 列表 : 


core@core-01 ~ $ fleetctl list-machines 
MACHINE IP METADATA 

16aacf8b... 172.17.8.103 - 

39b02496... 172.17.8.102 - 

eb570763... 172.17.8.101 - 
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首先 ， 我 们 打算 使 用 基于 DNS 的 服务 发 现 ， 因 此 需要 安装 SkyDNS ( 详 见 11.2.2 节 )。 像 
这 种 通用 服务 ， 在 集群 的 所 有 节点 上 安装 也 是 很 合理 的 ， 因 此 我 们 把 它 定义 为 全 局 单元 。 
它 的 服务 文件 名 为 skydns .service， 内 容 如 下 (在 你 的 虚拟 机 中 它 应 该 已 经 存在 ) : 











[Unit] 
Description=SkyDNS 


[Service] 

TimeoutStartSec=0 
ExecStartPre=-/usr/bin/docker kill dns 
ExecStartPre=-/usr/bin/docker rm dns 


ExecStartPre=/usr/bin/docker pull skynetservices/skydns:2.5.2b 
ExecStart=/usr/bin/env bash -c "IP=$(/usr/bin/ip -o -4 addr list docker0 \ 


| awk '{print $4}' | cut -d/ -f1) \ 


&& docker run --name dns -e ETCD_MACHINES=http://$IP:2379 \ 


skynetservices/skydns:2.5.2b" 
ExecStop=/usr/bin/docker stop dns 


[X-FLeet] 
Global=true 











除了 [X-Fleet]， 其 他 部 分 都 只 是 标准 的 systemd 单元 文件 内 容 。 在 ExecStart 中 ， 我 们 首 
先 用 了 一 些 Shell 技巧 以 获取 dockerg 网 桥 的 卫 地 址 ， 用 于 访问 主机 的 etcd 实例 。 容 器 启 








动 时 没有 用 上 -d 参数 ， 这 样 做 可 以 让 systemd 监控 应 用 程序 ， 以 及 负责 日 





[Xx-Fleet] 部 分 告诉 fleet， 我 们 希望 在 所 有 机 器 上 运行 这 个 单元 ， 而 不 是 按照 默认 方式 只 





运行 在 一 个 实例 上 
在 启动 DNS 服务 器 之 前 ， 还 需要 在 etcd 中 添加 一 些 配置 : 


core@core-01 ~ $ etcdctL set /skydns/config \ 
'{"dns_addr":"0.0.0.0:53", "domain":"identidock.local."}' 
{"dns_addr":"0.0.0.0:53", "domain":"identidock.local."} 





这 个 配置 指示 SkyDNS 负责 identidock.local 域名 。 
现在 可 以 启动 服务 了 。 通 过 fleetctl start 命令 启动 单元 文件 : 


core@core-01 ~ $ fleetctl start skydns.service 
Triggered global unit skydns.service start 


list-units 命令 可 以 获取 所 有 单元 的 状态 。 当 所 有 服务 都 运行 起 来 后 





输出 结果 : 
core@core-01 ~ $ fleetctl list-units 
UNIT MACHINE ACTIVE SUB 


skydns.service 16aacf8b.../172.17.8.103 active running 
skydns.service 39b02496.../172.17.8.102 active running 
skydns.service eb570763.../172.17.8.101 active running 


从 输出 结果 可 以 看 到 ， 集 群 中 的 每 台 机 器 上 都 运行 着 一 个 SkyDNS 

















Da 


合 久 。 


， 便 会 





志 记 录 的 工作 ， 





得 到 像 这 样 的 


DNS 已 经 运行 起 来 了 ， 现 在 需要 启动 Redis 容器 ， 并 把 它 注 册 到 DNS。Redis 的 配置 就 在 








redis.service 单元 文件 中 ， 内 容 如 下 : 








[Unit] 
Description=Redis 
After=docker .service 
Requires=docker .service 
After=fLanneLd.service 


[Service] 
TimeoutStartSec=0 
ExecStartPre=-/usr/bin/docker kill redis 
ExecStartPre=-/usr/bin/docker rm redis 
ExecStartPre=/usr/bin/docker pull redis:3 
ExecStart=/usr/bin/docker run --name redis redis:3 
ExecStartPost=/usr/bin/env bash -c 'sleep 2 \ 
&& IP=$(docker inspect -f {{.NetworkSettings.IPAddress}} redis) \ 
&& etcdctl set /skydns/local/identidock/redis \ 
"{\\"host\\":\\"$IP\\",\\"port\\":6379}"" 


ExecStop=/usr/bin/docker stop redis 


这 一 次 的 配置 里 没有 包含 [X-Fleet] 部 分 ， 因 此 只 会 启动 一 个 Redis 实例 。 在 [ExecStartPost] 
中 ， 我 们 提供 了 一 些 代码 ， 作 用 是 当 容器 启动 后 ，Redis 会 被 自动 注册 到 SkyDNS。 命 令 中 
需要 用 到 一 个 短暂 的 sleep， 目的 是 在 取得 全 地 址 之 前 ， 先 让 Docker 把 网 络 设置 好 。 这 
种 代码 通常 最 好 放置 在 一 个 辅助 性 质 的 脚本 里 ， 但 为 了 简单 起 见 ， 我 直接 把 它 放 在 单元 文 























件 中 。 





现在 启动 Redis 服务 和 dnmonster 服务 (dnmonster 的 单元 文件 与 Redis 的 单元 文件 形式 








相同 ) : 


core@core-01 ~ $ fLeetctL start redis.service 

Unit redis.service Launched on 53a8f347.../172.17.8.101 
core@core-01 ~ $ fleetctl start dnmonster.service 

Unit dnmonster.service Launched on ce7127e7.../172.17.8.102 


可 以 看 到 dnmonster 和 Redis 的 单元 被 安排 在 不 同 的 机 器 上 运行 ， 这 是 为 了 把 负载 分 摊 : 





core@core-01 ~ $ fleetctl list-units 

UNIT MACHINE ACTIVE SUB 

dnmonster .service 39b02496.../172.17.8.102 activating start-pre 
redis.service 16aacf8b.../172.17.8.103 activating start-pre 
skydns.service 16aacf8b.../172.17.8.103 active running 
skydns.service 39b02496.../172.17.8.102 active running 
skydns.service eb570763.../172.17.8.101 active running 


机 器 需要 一 些 时 间 来 下 载 和 启动 相关 容器 。 
现在 来 启动 identidock 容器 。 它 的 单元 文件 identidock.service 内 容 如 下 : 


[Unit] 
Description=identidock 











[Service] 

TimeoutStartSec=0 

ExecStartPre=-/usr/bin/docker kill identidock 
ExecStartPre=-/usr/bin/docker rm identidock 
ExecStartPre=/usr/bin/docker pull amouat/identidock:1.0 
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ExecStart=/usr/bin/env bash -c "docker run --name identidock --Link dns \ 
--dns $(docker inspect -f {{.NetworkSettings.IPAddress}} dns) \ 
--dns-search identidock.local amouat/identidock:1.0" 

ExecStop=/usr/bin/docker stop identidock 


这 一 次 使 用 了 Docker 的 --dns 和 --dns-search 参数 ， 告 诉 容器 通过 机 器 上 的 SkyDNS 容 
器 来 解析 DNS 查询 。 为 了 简单 起 见 ， 还 可 以 要 求 fleet 安排 容器 运行 在 当前 登录 的 机 器 上 。 
首先 需要 执行 fleetctl list-machines -1 来 找 出 机 器 的 ID : 


core@core-01 ~ $ fleetctl list-machines -1 
MACHINE IP METADATA 
16aacf8ba9524e368b5991a04bf90aef 172.17.8.103 - 
39b02496db124c3cb11ba88a13684c16 172.17.8.102 - 
eb570763ac8349ec927fac657bffa9ee 172.17.8.101 - 


然后 在 identidock.service 文件 的 底部 添加 以 下 内 容 : 


[X-Fleet] 
MachineID=<id> 


把 其 中 的 <id> 更 换 为 你 正在 运行 的 机 器 的 DD。 我 这 里 的 例子 需要 改 成 这 样 : 


[X-Fleet] 
MachineID=eb570763ac8349ec927fac657bffa9ee 


现在 可 以 启动 identidock 的 单元 了 ， 它 应 该 会 被 安排 在 当前 的 机 器 上 运行 : 


core@core-01 ~ $ fleetctl start identidock.service 
Unit identidock.service Launched on eb570763.../172.17.8.101 


当 服 务 运 行 起 来 后 ， 可 以 试 试 是 否 一 切 正 常 工 作 : 


core@core-01 ~ $ docker exec -it identidock bash 
uwsgi@ae8e3d7c494a:/app$ ping redis 

PING redis.identidock.local (192.168.76.3): 56 data bytes 
64 bytes from 192.168.76.3: icmp_seq=0 ttl=60 time=1.641 ms 
64 bytes from 192.168.76.3: icmp_seq=1 ttL=60 time=2.133 ms 
^C--- redis.identidock.local ping statistics --- 

2 packets transmitted, 2 packets received, 0% packet Loss 
round-trip min/avg/max/stddev = 1.641/1.887/2.133/0.246 ms 
uwsgi@Qae8e3d7c494a:/app$ curl localhost:9090 
<html><head><title>Hello 


还 可 以 测试 当 一 台 机 器 发 生 故 障 时 会 有 什么 情况 : 


core@core-01 ~ $ fleetctl list-units 

UNIT MACHINE ACTIVE SUB 

dnmonster .service 39b02496.../172.17.8.102 active running 
identidock.service eb570763.../172.17.8.101 active running 
redis.service 16aacf8b.../172.17.8.103 active running 
skydns.service 16aacf8b.../172.17.8.103 active running 
skydns.service 39b02496.../172.17.8.102 active _ running 
skydns.service eb570763.../172.17.8.101 active running 


Redis 运行 在 172.17.8.103， 即 名 字 为 core-03 的 机 器 上 ， 可 以 用 Vagrant 来 停止 它 : 




















HR 























core@core-01 ~ $ exit 
$ vagrant halt core-03 
==> core-03: Attempting graceful shutdown of VM... 


现在 重新 登录 ， 然 后 检查 服务 状态 : 


core@core-01 ~ $ fleetctl list-units 

UNIT MACHINE ACTIVE SUB 

dnmonster .service 39b02496.../172.17.8.102 active running 
identidock.service eb570763.../172.17.8.101 active running 
redis.service 39b02496.../172.17.8.102 activating start-pre 
skydns.service 39b02496.../172.17.8.102 active running 
skydns.service eb570763.../172.17.8.101 active running 


Redis 服务 已 被 自动 重新 安排 在 一 台 运 作 中 的 机 器 上 运行 。 主 机 下 载 容器 需要 一 定时 间 ， 
不 过 一 旦 完成 后 ， 它 就 会 把 新 地 址 注册 到 SkyDNS ，identidock 也 会 继续 工作 。 如 果 在 每 台 
主机 上 预先 下 载 所 需 的 镜像 ， 那 就 能 很 大 程度 上 避免 等 待 。 


可 以 看 到 ，fleet 有 很 多 有 用 的 功能 ， 但 它 比 较 倾 向 于 长 期 运行 的 服务 ， 而 不 是 那 种 类 似 
批量 任务 的 短期 容器 。 调 度 策 略 也 非常 基本 一 一 虽然 “最 小 负载 ”策略 在 很 多 情况 下 适 
用 ， 但 在 某 些 场景 下 却 要 求 更 加 精细 或 更 加 复杂 的 策略 。 在 这 种 情况 下 ， 你 可 能 会 发 现 
Kubernetes 更 合适 ， 而 且 它 还 可 以 运行 在 feet 之 上 。 



































12.1.3 Kubernetes 


Kubernetes (http://kubernetes.io/) 是 谷歌 基于 过 去 十 几 年 实际 应 用 容器 的 经 验 而 开发 出 来 
的 容器 编排 工具 。Kubernetes 比较 坚持 自己 的 一 套 设 计 理 念 ， 它 对 容器 的 组 成 和 联网 方式 
有 强制 要 求 。 接 下 来 是 一 些 必须 清楚 的 基本 概念 。 


pod 


pod 是 一 组 容器 ， 会 被 一 同安 排 部 署 和 调度 。pod 在 Kubernetes 中 被 用 作 调 度 时 不 可 分 

割 的 一 个 单元 ， 这 种 做 法 与 其 他 只 有 单一 容器 概念 的 系统 形成 了 鲜明 对 比 。 一 个 pod 通 
党 包含 1~5 个 互相 合作 的 容器 ， 用 于 提供 某 种 服务 。 除 了 这 些 用 户 容 器 外 ，Kubernetes 
还 会 运行 其 他 用 于 提供 日 志 记 录 和 监控 服务 的 容器 。pod 在 Kubernetes 中 的 生命 周期 是 
短暂 的 ， 随 着 系统 发 展 ， 它 们 会 被 不 断 创建 和 销毁 ， 对 此 你 要 有 心理 准备 。 

扁平 的 网 络 空间 
Kubernetes 的 联网 方式 与 默认 的 Docker 网 桥 联 网 相 比 有 着 明显 的 不 同 。 在 默认 的 
Docker 联网 中 ， 容 器 的 网 络 是 私有 的 子 网 ， 不 能 与 其 他 主机 上 的 容器 直接 通信 ， 除 非 
通过 端 转发 货代 理 ， 在 Kubernetes 中 ， 一 个 pod 内 的 容器 共同 使 用 一 个 卫 地 址 ， 但 
对 于 所 有 pod， 它 们 的 地 址 空间 是 “扁平 ”的 ， 也 就 是 说 ， 所 有 pod 无 需 任何 网 络 地 址 
转换 (network address translation，NAT) 就 能 互相 通信 。 这 使 得 多 主机 集群 更 易于 管 
理 ， 而 代价 是 Docker 连接 无 法 使 用 ， 并 且 单 台 主 机 (或 更 准确 地 说 ， 单 个 pod) 的 联 
网 也 变 得 复杂 。 由 于 同一 个 pod 内 的 容器 使 用 相同 的 一， 它们 可 以 使 用 LocatLhost 地 址 
上 的 端口 进行 通信 (这 意味 着 你 需要 协调 pod 内 的 端口 使 用 ) 。 
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标签 (label) 


标签 是 一 组 附 于 Kubernetes 的 对 象 的 键 值 对 ， 对 象 主要 是 pod， 用 于 描述 识别 对 象 的 
特征 (例如 version: dev 和 tier: frontend)。 标 签 通常 不 是 唯一 的 ， 因 为 标签 的 设计 
是 用 于 识别 容器 群 组 的 。 标 签 选 择 符 (label selector) 可 以 用 来 识别 一 些 对 象 或 对 象 群 
(例如 ， 所 有 环境 被 设置 为 生产 环境 的 前 端 pod)。 通 过 标签 的 使 用 ， 我 们 很 容易 就 能 够 
实现 分 组 ， 壁 如 把 pod 分 配 到 负载 均衡 的 群 组 ， 或 者 把 pod 在 不 同 群 组 之 间 迁 移 。 








服务 








服务 是 一 些 稳定 的 、 可 通过 名 称 定 址 的 端点 。 服 务 可 以 通过 标签 选择 符 连 接 至 pod。 例 
如 ， 我 的 “缓存 ”服务 可 以 连接 至 多 个 以 标签 选择 符 "type": "redis" 表示 的 “redis” 





pod。 这 个 服务 将 以 自动 循环 的 方式 安排 其 中 一 个 p 





od 处 理 请 求 。 以 这 种 方式 ， 服 务 可 





以 把 系统 的 某 些 部 分 互相 连接 。 服 务 提供 了 一 个 抽象 层 ， 使 应 用 程序 只 需 调用 它们 而 无 











需 了 解 它们 的 内 部 运作 。 例 如 ， 一 个 在 pod 内 运行 的 应 用 程序 ， 调 用 数据 库 服 务 时 只 需 
知道 它 的 名 称 和 端口 ， 而 无 需 担心 数据 库 由 多 少 个 pod 组 成 ， 或 上 一 次 使 用 的 是 哪 一 个 





pod。Kubernetes 还 会 为 集群 设置 一 个 DNS 服务 器 ， 
在 应 用 程序 代码 和 配置 文件 中 以 名 称 定 址 。 


另外 ， 服 务 不 一 定 由 pod 提供 ， 它 可 以 连接 到 其 他 
据 库 。 


复制 控制 器 (replication controller) 














用 于 监视 新 的 服务 ， 以 及 允许 它们 


已 存在 的 服务 ， 例 如 外 部 API 或 数 


复制 控制 器 是 Kubernetes 中 对 pod 进行 实例 化 的 一 般 做 法 (通常 在 Kubermnetes 中 不 会 
用 到 Docker 的 命令 行 )。 它 负责 控制 和 监视 服务 中 运行 的 pod ( 称 为 副本 ，replica) 的 
数量 。 例 如 ,假设 复制 控制 器 为 Redis 服务 时 需要 保持 5 个 pod 运行 ， 如 果 其 中 一 个 发 
生 故 障 ， 那 么 便 会 立即 启动 一 个 新 的 副本 。 如 果 副 本 的 数量 需要 减少 ， 它 会 停止 多 余 的 
pod。 虽 然 通过 复制 控制 器 进行 pod 的 实例 化 将 额外 增加 一 重 配置 ， 但 同时 也 大 大 提升 

















了 容错 性 和 可 靠 性 。 




















12-3 中 显示 的 是 Kubernetes 集群 的 一 部 分 ， 其 中 有 两 个 由 复制 控制 器 创建 的 pod， 以 及 
一 个 为 它们 提供 对 外 接口 的 服务 。 服 务 将 按照 tier 标签 选择 合适 的 一 组 pod， 并 以 循环 方 
式 把 请 求 转发 至 它们 中 的 一 个 。 一 个 pod 中 的 所 有 容器 使 用 同一 个 卫 地址， 如果 它 们 需要 

















互相 通信 ， 可 以 通过 Locathost 地 址 上 的 不 同 端口 进行 
并 允许 公开 访问 。 


。 服 务 已 分 配 了 一 个 独立 的 卫 地 址 


为 了 使 identidock 能 够 在 Kubernetes 上 运行 ， 我 们 将 会 为 dnmonster、identidock 和 Redis 
容器 分 配 不 同 的 pod。 这 听 起 来 似乎 过 了 头 ， 但 这 些 服 务 都 有 单独 扩展 的 可 能 性 (譬如 一 
个 identidock 服务 需要 两 个 dnmonster 服务 和 三 个 Redis 服务 ， 而 且 它 们 都 能 做 到 负载 均 
衡 )。 我 们 不 必 为 了 通过 tocalhost 地 址 上 的 端口 访问 服务 而 重 写 程序 ， 也 无 需 添加 日 志 记 











录 或 监控 容器 ， 因 为 Kubernetes 已 经 帮 我 们 做 了 这 些 习 
衡 的 前 端 代理 ， 因 此 也 不 需要 Nginx 的 代理 容器 。 




















随 。 Kubernetes 还 提供 了 一 个 负载 均 
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复制 控制 器 
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标签 


tier: frontend 
gin \、 version: prod 
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tier: frontend 
oi \ version: prod 
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selector: tier==frontend 


23.251.128.247 








12-3: Kubernetes 集群 示例 





获取 Kubernetes 


Kubernetes 的 GitHub 页 面 上 提供 了 不 同 平台 的 入 门 指南 。 如 果 你 希望 在 本 地 体验 Kuber- 
netes, Kubernetes 的 GitHub 页 面 上 提供 了 一 些 Docker 容器 (https://github.com/GoogleCloud 
Platformy/kubernetes/blob/masterdocs/getting-started-guides/docker.md) 及 Vagrant 虚拟 机 
(https://github.com/GoogleCloudPlatform/kubernetes/blob/master/docs/getting-started-guides/ 
vagrant.md) ， 你 可 以 用 它们 来 运行 Kubernetes。 除 此 以 外 ， 一 个 比较 理想 的 Kubernetes 
托管 方案 是 谷歌 的 容器 引擎 (Google Container Engine, GKE, https://cloud.google.com/ 
container-engine/) ， 它 是 谷歌 自己 的 一 套 商 业 产 品 。 


如 果 你 选择 自行 安装 Kubernetes， 你 还 需要 配置 DNS 插件 ， 否 则 无 法 解析 服务 名 称 ; 
而 GKE 已 经 配置 好 这 些 并 随时 可 用 。 
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下 面 的 指令 假设 Kubernetes 是 在 谷歌 容器 引擎 (GKE) 上 运行 ， 但 对 于 其 他 的 Kubernetes 
安装 来 说 应 该 区 别 不 大 。 有 关 获 取 或 安装 Kubernetes 的 详情 参见 上 面 的 辅助 栏 “获取 
Kubernetes”。 本 节 的 余下 部 分 假设 你 已 经 可 以 成 功 运行 kubectl 命令 ， 而 且 DNS 服务 器 也 
已 经 一 并 安装 受 当 。 


下 面 来 定义 一 个 用 于 创建 Redis 实例 的 复制 控制 器 。 首 先 创建 一 个 名 为 redis-controller.json 
的 文件 ， 内 容 如 下 : 


{ "kind":"ReplicationController", 
"apiVersion":"v1", 
"metadata":{ "name":" 
"spec":{ 

"replicas":1, 
"selector":{ "name":" 
"template":{ 
"metadata":{ 
"labels":{ "name":" 






































redis-controller" }, 
redis-pod" }, 


redis-pod" } 


spec":{ 

"containers":[ { 
"name":"redis", 
"image":"redis:3", 
"ports":[ { 

"containerPort":6379, 
"protocol":"TCP" 


二 村 二 二 二 村 


这 里 要 求 Kubernetes 创建 一 个 以 复制 控制 器 管理 的 pod， 它 包含 一 个 运行 redis:3 镜像 的 
容器 ， 并 开放 了 6379 端口 。 我 们 把 一 个 键 名 为 “name”， 值 为 “redis-pod” 的 标签 赋予 这 
个 pod。 复 制 控 制 器 本身 也 是 一 个 对 象 ， 名 为 “redis-controller”。 

现在 通过 kubectl 工具 启动 这 个 pod: 











$ kubectl create -f redis-controller.json 
services/redis 


如 果 接 着 执行 kubectl get pods， 你 将 获得 一 个 列表 ， 列 出 运行 中 和 待 运行 的 所 有 pod， 
其 中 包含 各 种 细节 , 有 标签 和 卫 地 址 , 以 及 它们 使 用 的 容器 和 镜像 ”。 由 于 命令 输出 的 信息 
太 多 ， 这 里 不 便 全 部 列 出 ， 但 其 中 的 运行 镜像 部 分 大 概 是 这 样 的 : 

gcr .io/googLe_containers/fLuentd-gcp:1.6 

gcr .io/google_containers/skydns:2015-03-11-001 
gcr.io/google_containers/kube2sky:1.9 


gcr.io/google containers/etcd:2.0.9 
redis:3 


redis 以 外 的 其 他 容器 人 负责 执行 各 种 系统 任务 ，fluentd 负责 日 志 记 录 ，skydns、kube2sky 


和 etcd 负责 处 理 服 务 名 称 的 DNS 解析 。 请 注意 ， 我 们 的 Redis pod 处 于 待 运行 状态 ， 它 
需要 一 些 时 间 让 Kubernetes 下 载 镜 像 和 启动 pod。 























注 2; 这 里 的 范例 使 用 的 是 v1 的 API。 预 计 后 续 版 本 的 API 语法 将 略 有 不 同 。 
注 3: 同样 ， 你 可 以 执行 kubectl get rc 获得 复制 控制 器 的 列表 ， 以 及 kubectl get services 获得 所 有 服务 的 列表 。 
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如 果 你 正在 使 用 GKE， 并 想 了 解 它 在 背后 如 何 运 作 ， 可 以 执行 gcloud compute ssh HOST 
登录 到 pod 的 虚拟 机 中 ， 其 中 的 HoST 是 kubectl get pods 命令 的 输出 中 HOST 标题 的 值 
(只 使 用 /之 前 的 部 分 )。 登 录 后 可 以 执行 docker ps， 就 像 在 一 般 运 行 Docker 容器 的 虚拟 
机 上 一 样 ， 与 容器 进行 交互 。 


下 一 步 就 是 定义 一 个 服务 ， 让 其 他 容器 无 需 知 道 IP 地 址 ， 就 能 够 连接 到 我 们 的 redis pod。 
把 以 下 内 容 保存 到 redis-service.json 文件 中 : 


{ "kind":"Service", 
"apiVersion":"v1", 
"metadata":{ "name":"redis" }, 
"spec":{ 

"ports": [ { 
"port":6379, 
"targetPort":6379, 
"protocol":"TCP" 

】]， 


"selector":{ "name":"redis-pod" } 
































这 个 配置 文件 定义 了 一 个 服务 ， 让 使 用 这 个 服务 的 程序 能 够 连接 到 我 们 的 redis pod。 这 项 
服务 被 命名 为 “redis”"，DNS 集群 插件 (默认 已 安装 在 GKE 上 ) 能 够 发 现 它 ， 并 负责 这 
个 名 字 的 DNS 解析 。 重 要 的 是 ， 这 意味 着 我 们 的 identidock 代码 无 需 修改 主机 名 就 能 继 
续 工 作 。 


这 个 redis pod 以 "name":"redis-pod" 选择 符 识别 。 如 果 我 们 有 多 个 相同 标签 的 redis 节点 ， 
选择 符 将 会 匹配 所 有 节点 。 当 有 一 个 以 上 的 pod 被 选中 时 ， 服 务 将 随机 选择 一 个 pod 处 理 
请 求 (也 可 以 在 选择 pod 的 时 候 设 置 关联 度 。 例 如 ，"CLientIP" 将 始终 根据 人 P 地 址 把 pod 
分 配给 客户 端 )。 通 过 修改 pod 的 标签 ， 它 们 可 以 动态 地 把 pod 移入 或 移出 相关 的 选择 符 
群 组 ， 有 些 任务 需要 这 样 做 ， 比 如 为 了 对 pod 进行 调试 或 维护 ， 需 要 暂时 把 pod 从 生产 环 
境 中 撤离 。 

接 下 来 用 几乎 相同 的 方式 创建 dnmonster 控制 器 和 服务 。 把 以 下 内 容 保存 到 dnmonster- 
controller.json 文件 中 : 


























{ "kind":"ReplicationController", 
"apiVersion":"v1", 
"metadata":{ "name":"dnmonster-controller" }, 
"spec":{ 
"replicas":1, 
"selector":{ "name":"dnmonster-pod" }, 
"template":{ 
"metadata":{ 
"labels":{ "name":"dnmonster-pod" } }, 
"spec":{ 
"containers":[ { 
"name": "dnmonster", 
"image":"amouat/dnmonster:1.0", 
"ports":[ { 
"containerPport" :8080, 
"protocol":"TCP" 
下 了 可 洒洒 省 村 
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为 dnmonster 服务 创建 dnmonster-service.json 文件 : 


{ "kind":"Service", 
"apiVersion":"v1", 
"metadata":{ "name":"dnmonster" }, 
"spec":{ 
"ports™s[ 
"port":8080, 
"targetPort":8080, 
"protocol":"TCP" 
}]， 


"selector":{ "name":"dnmonster-pod" } 


}} 
启动 它们 : 
$ kubectl create -f dnmonster-controller.json 
replicationcontrollers/dnmonster-controller 


$ kubectl create -f dnmonster-service.json 
services/dnmonster 


这 部 分 与 处 理 redis 控制 器 和 服务 的 手法 完全 相同 ， 我 们 有 一 个 可 以 通过 主机 名 dnmonster 
访问 的 dnmonster 服务 ， 它 把 请 求 转发 至 由 复制 控制 器 创建 的 dnmonster 实例 。 


现在 可 以 创建 一 个 identidock 的 pod， 把 刚才 创建 的 所 有 东西 连 在 一 起 。 把 以 下 内 容 保 存 
到 identidock-controller.json 文件 : 








{ "kind":"ReplicationController", 
"apiVersion":"v1", 
"metadata":{ "name":"identidock-controller" }, 
"spec":{ 
"replicas":1, 
"selector":{ "name":"identidock-pod"” }, 
"template":{ 
"metadata":{ 
"labels":{ "name":"identidock-pod" } }, 
"spec":{ 
"containers":[ { 
"name":"identidock", 
"image":"amouat/identidock:1.0", 
"ports":[ { 
"containerPort" :9090 ， 
"protocol":"TCP" 


a a i 
并 启动 它 : 


$ kubectl create -f identidock-controller.json 
replicationcontrollers/identidock-controller 


Identidock 现在 应 该 已 经 运行 起 来 了 ， 但 是 仍然 需要 创建 一 个 identidock 服务 ， 让 它 可 以 被 
外 界 访问 。 把 以 下 内 容 保存 到 identidock-service.json 文件 : 


{ "kind":"Service", 
"apiVersion":"v1", 








"metadata":{ "name":"identidock" }, 


"spec":{ 
"type": "LoadBalancer", 
"ports": [ { 

"port":80, 


"targetPort":9090, 
"protocol":"TCP" 
am 


"selector":{ "name":"identidock-pod" } 


二 让 

这 个 服务 与 之 前 定义 的 有 些许 不 同 。 我 们 把 "type" 设置 为 "LoadBalancer"， 这 将 创建 一 
个 外 界 能 访问 的 负载 均衡 器 ， 它 会 在 80 端口 上 监听 连接 ， 并 将 连接 转发 至 9090 端口 的 
identidock 服务 。 
如 果 你 使 用 GKE， 那 么 可 能 还 需要 在 防火 墙 打开 80 端口 ， 通 过 gcloud 工具 创建 规则 便 可 : 

$ gcloud compute firewall-rules create --aLLow=tcp:80 identidock-80 
现在 ,假设 我 们 与 服务 之 间 没 有 防火 墙 ， 你 应 该 能 够 通过 identidock 服务 显示 的 公共 IP 地 
址 连接 它 : 

$ kubectl get services identidock 

NAME LABELS SELECTOR IP(S) PORT(S) 


identidock <none> name=identidock-pod 10.111.250.210 80/TCP 
23.251.128.247 
































$ curl 23.251.128.247 
<html><head><title>Hello... 





Kubernetes 数据 卷 

数据 卷 的 使 用 在 Kubernetes 中 也 有 所 不 同 。 主 要 的 区 别 在 于 ， 它 们 在 pod 这 一 层 声明 ， 
而 不 是 在 容器 层 ， 并 且 可 以 与 pod 内 的 容器 共享 。Kubernetes 为 不 同类 型 的 用 例 提 供 
了 多 种 数据 卷 ， 列 举 如 下 。 
emptyDir 

它 会 在 容器 中 初始 化 一 个 允许 容器 写 入 的 空 目 录 。 当 pod 不 再 存在 时 ， 目 录 也 会 一 

并 消失 。 这 种 类 型 很 适合 pod 存在 时 才 需 要 的 临时 数据 ， 或 者 会 定期 备份 到 持久 性 
gcePersistentDisk 

对 于 GKE 用 户 而 言 ， 这 种 类 型 可 以 把 数据 存储 在 谷歌 云 内 。 数 据 的 保存 将 超越 

pod 的 生命 周期 。 


awsElasticBlockStore 


对 于 AWS 用 户 而 言 ， 这 种 类 型 可 以 把 数据 存储 在 Amazon 的 弹性 块 存储 (Elastic 
Block Store，EBS) 内 。 数 据 的 保存 将 超越 pod 的 生命 周期 。 
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nfs 
适用 于 网 络 文件 系统 (Network File System，NFS) 上 的 文件 。 同 样 ， 数 据 的 保存 
将 超越 pod 的 生命 周期 。 

Secret 
适用 于 存储 敏感 信息 ， 如 密码 和 pod 使 用 的 API 令 牌 。 这 种 用 于 保密 的 数据 卷 必 须 


通过 Kubernetes API 初始 化 ， 并 存储 在 tmpfs 上 ，tmpfs 的 特性 是 完全 存在 于 内 存 
中 ， 绝 对 不 会 写 入 磁盘 。 











使 用 Kubernetes 需要 更 多 的 配置 工作 ， 但 如 果 利用 它 来 搭建 系统 ， 将 会 有 现成 的 故障 转移 
和 负载 均衡 的 支持 。 与 容器 互联 的 做 法 相 比 ，Kubernetes 服务 提供 了 一 个 抽象 层 ， 使 我 们 
能 够 对 底层 的 pod 和 容器 轻松 地 进行 扩展 和 替换 。 它 的 缺点 在 于 ，Kubernetes 在 我 们 简单 
的 identidock 应 用 上 增加 了 相当 多 的 负担 ， 额 外 的 日 志 记 录 和 监控 功能 需要 大 量 资源 ， 从 
而 增加 了 运行 成 本 。 

对 于 某 些 应 用 来 说 ，Kubernetes 强制 的 系统 设计 和 选择 并 不 合适 。 但 对 于 大 多 数 应 用 来 
说 ， 特 别 是 微服 务 以 及 状态 信息 很 少 或 相对 独立 的 应 用 ， 只 需 极 少 付出 ， 就 能 得 到 一 个 由 
Kubernetes 提供 的 易 用 、 复 原 能 力 强 ， 并 且 可 扩展 的 服务 。 








12.1.4 Mesos 和 Marathon 


Apache Mesos (https://mesos.apache.org/) 是 一 个 开源 的 集群 管理 工具 。 它 的 设计 目标 是 让 
集群 能 够 扩展 到 儿 百 至 几 千 台 主机 的 大 型 集群 。Mesos 支持 来 自 不 同 用 户 的 工作 负载 ， 而 
这 些 负载 更 可 以 是 千差万别 的 ， 例 如 某 用 户 的 Docker 容器 可 以 在 另 一 位 用 户 的 Hadoop 任 
务 旁 一 同 运行 。 

Apache Mesos 始 于 加 州 大 学 伯克利 分 校 的 一 个 项 目 ， 后 来 成 为 驱动 Twitter 的 底层 基础 架 
构 ， 在 许多 大 公司 如 eBay 和 Airbnb 里 也 是 一 个 重要 的 工具 。 很 多 Mesos 的 持续 开发 工 
作 和 支撑 工具 (如 Marathon) 都 是 由 Mesos 的 其 中 一 位 原 开发 者 Ben Hindman 所 创立 的 
Mesosphere 公司 承担 。 


Mesos 的 架构 围绕 高 可 用 性 和 高 度 复原 能 力 而 设计 。Mesos 集群 的 主要 组 成 部 分 列举 如 下 。 
Mesos 代理 节点 (agentnode)“ 
负责 实际 运行 任务 。 所 有 代理 把 它们 的 可 用 资源 提交 给 master。 一 般 会 有 几 十 到 上 千 个 
代理 节点 。 
Mesos master 


负责 把 任务 分 发 至 代理 ， 并 维护 一 个 可 用 资源 列表 ， 以 供 框架 使 用 。master 按 分 配 策 
略 决定 可 提供 多 少 资 源 。 通 常 有 两 个 或 四 个 备用 的 master， 以 备 故障 发 生 时 可 以 随时 
替换 。 






















































































注 4: 过 去 称 为 slave 节点 。 
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ZooKeeper 


用 于 选举 以 及 查找 当前 master 的 地 址 。 通 常 有 三 个 或 五 个 ZooKeeper 实例 处 于 运行 状 
态 ， 以 确保 高 可 用 性 以 及 应 对 故障 发 生 。 


框架 (framework) 


框架 通过 与 master 协调 ， 把 任务 安排 到 代理 节点 上 运行 。 框 架 由 两 部 分 组 成 : executor 
和 scheduler， 前 者 运行 在 代理 之 中 ， 负 责 执 行 任 务 ， 后 者 需要 通过 master 注册 ， 并 根 
据 master 提供 的 可 用 资源 信息 来 选择 使 用 的 资源 。 在 一 个 Mesos 集群 中 ， 为 了 处 理 不 
同类 型 的 任务 ， 可 能 有 多 个 框架 运行 着 。 任 务 的 提交 应 该 向 框架 提出 ， 而 不 应 直接 问 
Mesos 提交 。 
图 12-4 中 展示 了 一 个 使 用 Marathon 框架 作为 调度 器 的 Mesos 集群 。Marathon 调度 器 通 
过 ZooKeeper 找到 当前 的 Mesos master， 并 将 任务 提交 给 它 。Marathon 调度 器 和 Mesos 
master 都 有 后 备 的 进程 运行 着 ， 以 备 master 不 可 用 时 还 能 准备 开始 工作 。 



























































Mesos 代 理 


Mesos | 
Master 
a hl da 
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12-4: Mesos 集群 


通常 ZooKeeper 与 Mesos master 和 它 的 后 备 进程 运行 在 同一 台 主 机 上 。 在 小 型 的 集群 中 ， 
主机 上 还 可 以 运行 代理 ， 但 规模 较 大 的 集群 则 需要 与 master 进行 通信 ， 使 得 这 样 做 不 太 可 
行 。Marathon 也 可 以 在 相同 的 主机 上 运行 ， 或 运行 在 网 络 边界 的 其 他 主机 上 ， 成 为 客户 端 
的 接 入 点 ， 从 而 使 客户 端 与 Mesos 集群 本 身分 开 。 

Marathon (https://mesosphere.github.io/marathon/ | Mesosphere) 针对 长 时 间 运 行 ”的 应 
用 程序 而 设计 ， 用 于 应 用 的 启动 、 监 控 和 扩展 。Marathon 局 动 应 用 的 设计 非常 灵活 ， 甚 至 
可 以 用 来 启动 其 他 诸如 Chronos ( 即 “cron” 的 数据 中 心 版 本 ) 的 辅助 框架 。Marathon 直 
接 支 持 Docker 容器 ， 使 它 成 为 一 个 运行 Docker 容器 不 错 的 框架 。 与 之 前 介绍 过 的 其 他 编 
排 框架 一 样 ，Marathon 支持 各 种 关联 度 和 约束 的 规则 。 客 户 端 通过 REST API 与 Marathon 









































注 5， 大概 这 就 是 它 被 称 为 Marathon (马拉松 ) 的 原因 吧 ， 原 来 如 此 …… 
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进行 交互 。 其 他 功能 还 包括 健康 检查 ， 以 及 可 用 于 集成 负载 均衡 器 或 分 析 数 据 的 事件 流 。 
为 了 解 Mesos 和 Marathon 如 何 工 作 ， 可 以 通过 使 用 Docker Machine 模仿 图 12-4 中 的 设 
置 ， 建立 一 个 具有 3 个 节点 的 集群 。 然 而 ，ZooKeeper、Marathon 调度 器 和 Mesos master 
都 只 会 各 运行 一 个 实例 ， 而 所 有 节点 将 运行 Mesos 代理 。 用 于 生产 环境 的 架构 与 此 区 别 较 
大 ， 核 心服 务 都 应 运行 多 个 实例 以 确保 其 高 可 用 性 。 

首先 来 创建 主机 ， 分 别 是 mesos-1、mesos-2 和 mesos-3: 


$ docker-machine create -d virtualbox mesos-1 
Creating VirtualBox VM... 












































$ docker-machine create -d virtualbox mesos-2 


$ docker-machine create -d virtualbox mesos-3 


这 里 需要 一 点 修改 ， 使 mesos 的 主机 名 能 够 被 解析 。 理 论 上 这 是 不 需要 的 ， 但 不 这 样 做 的 
话 ， 运 行 时 会 遇 到 一 些 问题 ; 
$ docker-machine ssh mesos-1 'sudo sed -i "\$a127.0.0.1 mesos-1" /etc/hosts' 


$ docker-machine ssh mesos-2 'sudo sed -i "\$a127.0.0.1 mesos-2" /etc/hosts' 
$ docker-machine ssh mesos-3 'sudo sed -i "\$a127.0.0.1 mesos-3" /etc/hosts' 


我 们 将 首先 对 mesos-1 进行 配置 ， 把 Mesos master、ZooKeeper、Marathon 框架 以 及 代理 运 
行 起 来 。 
第 一 个 需要 启动 的 是 ZooKeeper， 因 为 其 他 容器 需要 它 来 进行 注册 和 查找 服务 。 这 里 所 用 
的 是 一 个 我 自己 创建 的 镜像 ， 因 为 直到 我 写 这 一 部 分 的 时 候 ， 还 没有 可 用 的 官方 镜像 。 启 
动 这 个 容器 的 时 候 ， 我 用 了 - -net=host 参数 ， 主 要 是 出 于 效率 的 考虑 ， 以 及 与 master 和 代 
E 容 器 保持 一 致 ， 因 为 它们 需要 主机 联网 功能 才能 打开 新 的 端口 来 提供 服务 。 
$ 
$ 













































































Me 











eval $(docker-machine env mesos-1) 
docker run --name zook -d --net=host amouat/zookeeper 


Status: Downloaded newer image for amouat/zookeeper:latest 
dfc27992467c9563db05af63ecb6fgec371c03728f9316d870bd4b991db7b642 


为 了 使 之 后 的 配置 工作 更 容易 一 些 ， 我 们 把 节点 的 卫 地 址 保存 到 变量 


$ MESOS1=$(docker-machine ip mesos-1) 
$ MESOS2=$(docker-machine ip mesos-2) 
$ MESOS3=$(docker-machine ip mesos-3) 


现在 可 以 启动 master: 


$ docker run --name master -d --net=host \ 
-e MESOS_ZK=zk://$MESOS1:2181/nesos \ © 
-e MESOS_IP=SMESOS1 \ © 
-e MESOS_HOSTNAME=$MESOS1 \ 
-e MESOS_QUORUM=1 \ © 
mesosphere/mesos-master:0.23.0-1.0.ubuntu1404 @ 





0 
© 
3 
© 


Status: Downloaded newer image for mesosphere/mesos-master:0.23.0-1.0.ubuntu1404 
9de83f40c3elc5908381563fb28a14c2e23bb6faed569b4d388ddfb46f7d7403 


把 ZooKeeper 的 位 置 告诉 master， 并 进行 注册 。 

设置 master 的 卫 地 址 。 

由 于 我 们 只 是 为 了 演示 ， 这 里 只 有 一 个 master 节点 。 

使 用 来 自 Mesosphere 的 mesos 镜像 。 因 为 这 个 镜像 并 非 自 动 构建 的 ， 很 难说 它 内 部 到 
底 包 含 了 什么 东西 ， 所 以 不 建议 在 生产 环境 中 使 用 它 。 























同时 在 同一 台 主机 上 执行 代理 : 


$ docker run --name agent -d --net=host \ 
-e MESOS_MASTER=zk://$MESOS1:2181/mesos \ 
-e MESOS_CONTAINERIZERS=docker \ 0 
-e MESOS_IP=$MESOS1 \ 
-e MESOS_HOSTNAME=$MESOS1 \ 
-e MESOS_EXECUTOR_REGISTRATION_TIMEOUT=10mins \ © 
-e MESOS_RESOURCES="ports(*):[80-32000]" \ © 
-e MESOS_HOSTNAME=$MESOS1 \ 
-v /var/run/docker.sock:/run/docker.sock \ @ 
-v /usr/LocaL/bin/docker:/usr/bin/docker \ 
-Vv /sys:/sys:ro \ 
mesosphere/mesos-slave:0.23.0-1.0.ubuntu1404 


Status: Downloaded newer image for mesosphere/mesos-slave:0.23.0-1.0.ubuntu1404 
38aaec1d08a41e5a6deeb62b7b097254b5aa2b758547e03c37cf2dfc686353bd 























@ Mesos 有 一 个 概念 称 为 containerizers， 它 为 不 同 任务 之 间 提 供 隔离 ， 且 运行 于 代理 上 。 


























这 里 以 docker 作为 参数 ， 表 示 Docker 容器 将 以 任务 形式 运行 在 代理 上 。 





@ 我 们 需要 延长 “注册 超时 时 间 ”， 让 代理 有 足够 时 间 下 载 镜像 。 
@ 默认 情况 下 ， 代 理 只 把 部 分 高 端口 提供 给 框架 使 用 。 由 于 identidock 需要 使 用 一 些 低 端 








口 ， 我 们 必须 明确 地 将 它们 在 可 提供 的 资源 中 列 出 。 为 了 简明 起 见 ， 我 并 没有 刻意 排除 





其 中 Mesos 用 到 的 端口 ， 但 如 果 框 架 要 求 使 用 一 个 已 被 占用 的 端口 的 话 ， 这 样 做 将 可 
能 导致 冲突 。 





@ 为 了 使 代理 能 够 启动 新 的 容器 ， 需 要 加 载 Docker 的 sock 和 二 进 制 文件 。 
@ 加载 /sys 是 必要 的 ， 否 则 代理 无 法 准确 和 详细 地 报告 主机 的 可 用 资源 。 











$ docker run -d --name marathon -p 9000:8080 \ © 
mesosphere/marathon:v0.9.1 --master zk://$MESOS1:2181/mesos \ 

--zk zk://$MESOS1:2181/marathon \ 

--task_Launch_timeout 600000 @ 


Status: Downloaded newer image for mesosphere/marathon:v0O.9.1 
697d78749c2cfd6daf6757958f8460963627c422710f366fc86d6fcdce0da311 


@ 我 们 需要 更 改 Marathon 的 默认 8080 端口 ， 以 避免 可 能 与 dnmonster 容器 发 生 冲 突 。 
@ 把 超时 设置 成 600 000 毫秒 ， 以 配合 代理 的 executor 注册 时 的 10 分 钟 超时 时 间 。 这 个 





设置 只 是 暂时 的 ， 未 来 的 版 本 将 会 取消 这 一 设置 。 
下 一 步 ， 在 其 他 主机 上 启动 代理 : 
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$ eval $(docker-machine env mesos-2) 

$ docker run --name agent -d --net=host \ 
-e MESOS_MASTER=zk://$MESOS1:2181/mesos \ 
-e MESOS_CONTAINERIZERS=docker \ 
-e MESOS_IP=$MESOS2 \ 
-e MESOS_HOSTNAME=$MESOS2 \ 
-e MES0S_EXECUTOR_REGISTRATION_TIMEOUT=10mins \ 
-e MESOS_RESOURCES="ports(*):[80-32000]" \ 
-v /var/run/docker.sock:/run/docker.sock \ 
-v /usr/LocaL/bin/docker:/usr/bin/docker \ 
-Vv /sys:/sys:ro \ 
mesosphere/mesos-slave:0.23.0-1.0.ubuntu1404 


Status: Downloaded newer image for mesosphere/mesos-slave:0.23.0-1.0.ubuntu1404 
ac1216e7eedbb39475404f45a5655c7dc166d118db99072ed3d460322ad1a1c2 
$ eval $(docker-machine env mesos-3) 
$ docker run --name agent -d --net=host \ 

-e MESOS_MASTER=zk://$MESOS1:2181/mesos \ 

-e MESOS_CONTAINERIZERS=docker \ 

-e MESOS_IP=$MESOS3 \ 

-e MESOS_HOSTNAME=$MESOS3 \ 

-e MES0S_EXECUTOR_REGISTRATION_TIMEOUT=10mins \ 

-e MESOS_RESOURCES="ports(*):[80-32000]" \ 

-v /var/run/docker.sock:/run/docker .sock \ 

-v /usr/LocaL/bin/docker:/usr/bin/docker \ 

-Vv /sys:/sys:ro \ 

mesosphere/mesos-slave:0.23.0-1.0.ubuntu1404 


Status: Downloaded newer image for mesosphere/mesos-slave:0.23.0-1.0.ubuntu1404 
b5eecb7f56903969d1b7947144617050f193f20bb2a59f2b8e4ec30ef4ec3059 


现在 ， 如 果 在 浏览 器 中 打开 http:/$MESOS1:5050 (把 $MESOS1 霖 换 为 mesos-1 的 IP 地 
址 )， 应 该 可 以 看 到 Mesos 的 Web 界面 。 同 样 ，Marathon 的 界面 可 以 通过 9000 端口 访问 。 


我 们 现在 已 经 有 一 个 通过 Marathon 在 Mesos 代理 上 运行 容器 的 基础 设施 。 但 我 们 还 需要 
添加 一 个 服务 发 现 的 机 制 ， 才 能 够 让 identidock 运行 起 来 。 为 此 ， 我 们 将 在 mesos-1 上 启 
用 mesos-dns (https:Wgithub.com/mesosphere/mesos-dns ) 


Marathon 的 任务 以 JSON 文件 定义 ， 对 于 这 个 将 要 启动 的 任务 ，JSON 文件 包含 它 的 详细 
信息 以 及 所 需 资 源 。 


可 以 利用 以 下 的 JSON 文件 启动 nesos-1 的 mesos-dns: 














"id": "mesos-dns", 
"container": { 
"docker": { 
"image": "bergerx/mesos-dns"， © 


"network": "HOST", @ 
"parameters": [ 
{ "key": "env", 
"value": "MESOS_DNS_ZK=zk://192.168.99.100:2181/mesos" }, © 
{ "key": "env", "value": "MESOS_DNS_MASTERS=192.168.99.100:5050" }, 
{ "key": "env", "value": "MESOS_DNS_RESOLVERS=8.8.8.8" } 





cpus": 0.1, @ 

"mem": 120.0， 

"instances": 1， 

"constraints": [["hostname", "CLUSTER", "192.168.99.100"]] © 
} 


@ 这 里 使 用 一 个 由 普通 用 户 构 建 的 mesos-dns， 因 为 它 能 够 自动 从 环境 变量 读 取 配置 ， 本 

书写 作 之 际 ，mesosphere/mesos-dns 镜像 还 不 支持 这 个 功能 。 

@ 与 之 前 一 样 ， 为 了 效率 而 使 用 主机 联网 模式 是 合理 的 做 法 ， 虽 然 也 可 以 使 用 网 桥 联网 模 
式 并 同时 发 布 53 端口 。 

我 们 需要 设置 环境 变量 来 配置 mesos-dns。 可 以 通过 使 用 parameter 选项 做 到 这 一 点 ， 
parameter 用 于 给 启动 镜像 的 docker run 命令 添加 参数 。 务 必 把 192.168.99.100 更 换 为 
集群 中 mesos-1 的 了 PP 地 址 。 

@ 所 有 任务 都 需要 定义 运行 时 所 需 的 资源 。 这 里 要 求 “0.1” 的 CPU 资源 和 120MB 的 内 存 。 

@ 在 这 个 测试 中 ， 只 需要 一 个 mesos-dns 的 实例 。 

@@ 通过 以 mesos-1 的 卫 地 址 指定 一 个 主机 名 (hostname) 的 约束 条 件 ， 我 们 能 够 把 
mesos-dns 固定 在 mesos-1 主机 上 。 


实际 上 ， 资 源 如 何 分 配给 容器 ， 取 决 于 Mesos 使 用 的 isolator，isolator 是 个 可 配置 项 。 通 
常情 况 下 ，CPU 资源 所 使 用 的 是 一 个 相对 的 权重 值 ， 即 当 出 现 争 用 CPU 的 情况 时 ， 权 重 
值 为 0.2 的 容器 能 够 使 用 的 CPU 将 两 倍 于 权重 值 为 0.1 的 容器 。 代 理 也 会 自行 从 提供 给 
Mesos 的 资源 中 扣除 CPU 的 数值 (因此 ， 如 果 某 代理 有 “8” 个 CPU 的 资源 ， 且 运行 着 
“1” 个 CPU 的 任务 时 ， 对 往 后 的 任务 它 只 会 提供 “7” 个 CPU 的 资源 )。 


将 上 述 文件 保存 为 dns.json， 并 通过 以 下 命令 调用 REST API 来 把 文件 发 送 给 Marathon: 


$ curl -X POST http://$MESOS1:9000/v2/apps -d @dns.json \ 
-H "Content-type: application/json" | jq . 

























































































{ 
"id": "/mesos-dns", 
"cmd": null, 
"args": null, 
"user": null, 





还 可 以 使 用 marathonctl 命令 行 工具 或 Web 界面 提交 任务 。 


如 果 现 在 查看 Marathon 的 Web 界面 ， 应 该 能 够 看 到 它 正 在 部 署 mesos-dns。 当 mesos- 
dns 运行 起 来 后 ， 我 们 需要 告诉 每 一 台 主 机 使 用 它 。 最 简单 的 办 法 便 是 更 新 每 台 主机 上 的 
resolv.conf， 当 容器 启动 时 便 会 自动 获得 。 

可 以 在 每 台 主机 上 运行 这 个 sed 脚本 : 


$ docker-machine ssh mesos-1 \ 
"sudo sed -i \"1s/^/domain marathon.mesos\nnameserver $MESOS1\Nn/\" \ 
/etc/resolv.conf" 

$ docker-machine ssh mesos-2 \ 
"sudo sed -i \"1s/^/domain marathon.mesos\nnameserver $MESOS1\n/\" \ 
/etc/resolv.conf" 
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$ docker-machine ssh mesos-3 \ 


"sudo sed -i \"1s/^/domain marathon.mesos\nnameserver $MESOS1\n/\" \ 
/etc/resolv.conf" 


运行 之 后 ，resolv.conf 将 会 变 成 这 样 : 





domain marathon.mesos 
nameserver 192.168.99.100 


如 果 你 的 resolv.conf 包括 一 行 search 指令 ， 那 么 你 还 需要 把 marathon.mesos 写 进去 ， 否 则 
域名 解析 将 会 失败 。 


现在 为 每 个 容器 创建 launcher。 它 们 会 被 放 在 网 桥 网 络 上 ， 但 它们 必须 都 各 开放 一 个 端口 ， 
以 便 能 够 通过 主机 访问 它们 。 
与 以 往 一 样 ， 我 们 会 先 将 Redis 运行 起 来 。 将 以 下 内 容 保存 为 redis.json: 

{ 





"id": "redis", 
"container": { 
"docker": { 
"image": "redis:3", 
"network": "BRIDGE", 
"portMappings": [ 
{"containerpPort": 6379, "hostPort": 6379} 


"instances": 1 


= 
并 提交 至 Mesos: 


$ curl -X POST http://SMES0S1:9000/v2/apps -d @redis.json \ 
-H "Content-type: application/json" 


dnmonster 也 一 样 ， 将 以 下 内 容 保 存 为 dnmonster.json: 


{ 
"id": "dnmonster", 
"container": { 
"docker": { 
"image": "amouat/dnmonster:1.0", 


"network": "BRIDGE", 
"portMappings": [ 
{"containerPort": 8080, "hostPport": 8080} 





"mem": 200.0， 
"instances": 1 


} 
并 提交 至 Mesos: 


$ curl -X POST http://SMES0S1:9000/v2/apps -d @dnmonster.json \ 
-H "Content-type: application/json" 


最 后 ， 将 以 下 内 容 保存 为 identidock.json: 
{ 
"id": "identidock", 
"container": { 
"docker": { 
"image": "amouat/identidock:1.0", 
"network": "BRIDGE", 
"portMappings": [ 
{"containerPort": 9090, "hostPort": 80} 


"mem": 200.0， 
"instances": 1 


+ 
并 提交 至 Mesos: 


$ curl -X POST http://SMES0S1:9000/v2/apps -d @identidock.json \ 
-H "Content-type: application/json" 


一 旦 代理 已 成 功 下 载 并 启动 镜像 ， 通 过 分 配 idenidock 任务 的 主机 的 IP 地址， 你 便 能 够 访 
问 identidock。 你 可 以 从 Web 界面 或 REST API 找到 IP 地 址 ， 像 这 样 : 
$ curl -s http://$MESOS1:9000/v2/apps/identidock | jq '.app.tasks[0].host' 
"192.168.99.101" 


$ curl 192.168.99.101 
<html><head><title>Hello... 


假如 有 足够 的 可 用 资源 ，Marathon 将 确保 任何 不 正常 停止 的 应 用 程序 能 够 重新 启动 。 你 可 
以 尝试 停止 并 重新 启动 nesos-2 和 mesos-3 机 器 ， 通 过 这 样 做 ， 你 可 以 学 习 到 ， 当 资源 离 
线 而 新 的 资源 重新 上 线 后 ， 任 务 是 如 何 迁 移 和 重新 启动 的 。 
我 们 还 可 以 把 更 复杂 的 健康 检查 添加 到 应 用 程序 中 ， 而 且 做 法 很 简单 ， 一 般 是 实现 一 个 
Marathon 能 够 定期 轮 询 的 HTTP 端点 。 例 如 ， 可 以 把 identidock.json 更 新 为 以 下 内 容 : 

{ 


























"id": "identidock", 
"container": { 
"docker": { 
"image": "amouat/identidock:1.0", 
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"network": "BRIDGE", 
"portMappings": [ 
{"containerpPort": 9090, "hostPport": 80} 


] 
} 
]， 
"cpus": 0.3， 
"mem": 200.0， 


"instances": 1， 
"healthChecks": [ 
{ 
"protocol": "HTTP", 
"pat hs /oy 
"gracePeriodSeconds": 3， 
"intervalSeconds": 10， 
"timeoutSeconds": 10， 
"maxConsecutiveFailures": 3 
}] 
} 


以 上 的 做 法 将 尝试 每 隔 10 秒 抓 取 identidock 的 主页 一 次 。 如 果 由 于 任何 原因 抓 取 失败 ( 例 
如 ， 返 回 代码 不 是 介 于 200~399， 或 响应 没有 在 超时 时 限 内 收 到 )，Marathon 将 进行 最 多 
两 次 测试 ， 之 后 便 会 终止 任务 。 

为 了 部 署 这 个 健康 检查 功能 ， 只 需 把 旧 的 identidock 停止 ， 然 后 把 更 新 后 的 启动 起 来 ; 


$ curl -X DELETE http://SMES0S1:9000/v2/apps/identidock 
{"version" :"2015-09-02T13:53:23.281Z" , "depLoymentId" :"1db18cce-4b39-49c0-8f2f... 


$ curl -X POST http://SMES0S1:9000/v2/apps -d @identidock.json \ 
-H "Content-type: application/json" 
































如 果 现 在 浏览 Marathon 的 Web 界面 ， 应 该 能 够 发 现 “Health Check Results” (健康 检 查 
结果 )。 


通过 安排 mesos-dns 容器 在 特定 卫 地 址 的 主机 上 运行 ， 我 们 已 经 看 到 Marathon 的 约束 条 
件 是 如 何 工作 的 。 我 们 也 可 以 指定 一 些 约束 条 件 来 选择 具有 (或 不 具有 ) 某 些 特定 属性 的 
主机 ， 例 如 ， 为 了 系统 能 够 支持 容错 而 将 容器 分 散在 各 个 主机 上 运行 。 


当前 的 配置 存在 一 个 问题 ， 那 就 是 identidock 服务 的 地 址 ， 而 这 取决 于 它 被 安排 用 来 运 
行 的 主机 的 到。 显然 ， 我 们 非常 需要 一 个 能 够 从 静态 端点 路 由 至 identidock 服务 的 可 靠 
方法 。 方 法 之 一 是 使 用 mesos-dns 找 出 当前 端点 ， 除 此 之 外 ，Marathon 提供 了 一 个 名 为 
servicerouter 的 工具 (https://github.com/mesosphere/marathon/blob/master/bin/servicerouter.py)， 
它 能 够 生成 用 于 HAProxy (http://www.haproxy.org/) 的 配置 ， 使 流量 路 由 至 Marathon 的 
程序 。 男 一 个 解决 方案 是 创建 自己 的 代理 服务 器 或 负载 均衡 服务 ， 让 它们 在 Marathon 的 事 
件 总 线 上 监听 应 用 程序 的 创建 和 销毁 事件 ， 并 针对 不 同情 况 转发 请 求 。 

另 一 个 问题 就 是 固定 端口 的 使 用 ， 像 Redis 的 6379 端口 和 dnsmonster 的 8080 端口 。 我 们 
已 经 不 得 不 把 Marathon 的 Web 界面 重新 映射 到 9000 端口 ， 以 避免 与 tnmonster 发 生 冲 
突 。 为 了 解决 这 个 问题 ， 我 们 可 以 重 写 程序 ， 使 程序 使 用 由 Marathon 分 配 的 动态 端口 ， 但 
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更 好 的 解决 办 法 应 该 是 使 用 SDN (软件 定义 网 络 ) 。 网 上 也 有 一 些 教程 讲述 如 何 将 Weave 
和 Mesos 配合 使 用 ，Mesospher 也 正在 开发 Calico 项目 (参见 11.5.4 节 ) 与 Mesos 的 整 
合 ， 这 也 有 望 成 为 Mesos 的 原生 功能 之 一 。 

Marathon 还 有 一 个 概念 称 为 应 用 程序 组 (application group)， 用 于 把 应 用 程序 组 合 起 来 ， 
确保 它们 按 正确 的 顺序 部 署 ， 从 而 在 启动 、 扩 展 或 进行 滚动 更 新 时 ， 都 能 满足 依赖 关系 
(例如 ， 数 据 库 需 要 在 应 用 程序 服务 器 之 前 启动 ) 。 


相 比 于 其 他 的 编排 解决 方案 ，Mesos 的 一 个 独特 功能 是 支持 混合 的 工作 负载 。 有 了 它 ,在 
一 个 集群 中 可 以 同时 运行 多 个 框架 ， 人 允许 如 Hadoop 或 Storm 等 数据 处 理 任务 与 驱动 微服 
务 应 用 的 Docker 容器 一 并 运行 。 这 是 Mesos 在 追求 高 利用 率 的 环境 中 特别 有 用 的 功能 
一 ; 你 可 以 在 同一 台 主 机 上 安排 运行 一 个 高 CPU 使 用 率 但 低 带 宽 要 求 的 任务 ， 同 时 又 安 
排 运行 另 一 个 性 质 相 反 的 任务 ， 以 达到 资源 使 用 率 的 最 大 化 。 一 个 集群 的 有 效 使 用 依赖 于 
是 否 准确 地 请 求 资 源 ， 而 不 是 向 Marathon 或 其 他 框架 提交 任务 时 过 度 配置 。 在 identidock 
的 范例 中 ， 内 存 使 用 的 数字 被 刻意 增加 ， 目 的 是 为 了 确保 不 会 出 现 所 有 任务 都 被 分 配 在 同 
个 代理 上 的 情况 ， 虽 然 在 现实 中 一 台 主 机 也 足以 胜任 。 为 了 解决 这 个 问题 ，Mesos 支持 
超额 预定 (over-subscription)， 人 允许 在 一 些 本 来 没有 提供 足够 资源 ， 但 通过 监控 发 现 仍 有 
能 力 运行 任务 的 代理 上 执行 “可 撤回 的 ”(revocable) 任务 。 当 资源 的 使 用 急剧 上 升 时 ， 这 
些 可 撤回 的 任务 将 被 停止 ， 因 此 它们 通常 属于 低 优 先 级 的 任务 ， 例 如 负责 在 后 台 进 行 数据 
分 析 。 获 取 更 多 关于 Mesos 超额 预定 的 信息 ， 请 访问 Mesos 网 站 (http://mesos.apache.org/ 
documentation/latest/oversubscription/) 以 及 GitHub (https://github.com/mesosphere/serenity ) 。 








































































































Mesos 上 运行 Swarm 或 Kubernetes 


由 于 Mesos 本 身 提供 了 一 个 低 阶 的 集群 和 调度 基础 设施 ， 在 Mesos 之 上 运行 更 高 阶 
的 接口 (例如 Kubernetes 和 Swarm) 绝对 是 可 行 的 。 乍 一 看 这 样 做 好 像 很 思春 ， 
为 它们 在 功能 上 有 很 大 程度 的 重 登 。 然 而 ， 运 行 在 Mesos 之 上 ， 意 味 着 你 可 以 充分 利 
用 现 有 的 Mesos 功能 来 实现 容错 、 高 可 用 性 和 有 效 的 资源 运用 。 你 还 可 以 借助 Mesos 
便于 移植 的 特性 ， 把 它 移植 到 任何 支持 Mesos 的 数据 中 心 或 云端 ， 并 同时 能 够 保持 
Kubernetes 和 Swarm 的 功能 和 易 用 性 。 对 于 运营 来 说 这 样 做 也 有 明显 的 益处 ， 它 们 只 
需 专注 于 提供 底层 的 Mesos 基础 设施 ， 便 能 够 同时 支持 多 样 化 的 工作 负载 和 高 利用 率 。 


想 要 了 解 更 多 信息 ， 请 访问 Kubernetes-Mesos 的 页 面 (https://github.com/kubernetes/Kuber- 
netes/tree/master/contrib/mesos) 。 











12.2 ”容器 管理 平台 


目前 有 几 个 可 选 的 容器 管理 平台 ， 专 门 针对 容器 的 配置 、 编 排 以 及 监控 的 自动 化 而 开发。 
这 些 平台 不 直接 提供 容器 托管 ， 而 是 提供 基于 公有 云 和 私有 云 的 接口 。 在 即将 看 到 的 所 有 
例子 中 ， 它 们 都 提供 了 Web 界面 和 系统 概览 。 这 些 平台 对 于 简化 容器 管理 非常 有 用 ， 而 且 
在 基础 设施 供应 商 之 上 提供 了 一 个 抽象 层 ， 使 去 平台 之 间 的 迁移 或 同时 使 用 多 个 云 平台 变 
得 更 容易 。 
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12.2.1 Rancher 


Rancher (http:/rancher.comy/rancher/) ， 中 文 的 意思 是 “牧场 主 ” ， 我 猜 它 的 命名 应 该 是 来 自 
“宠物 与 性 口 ”(pets versus cattle) 的 比喻 ， 在 众多 的 管理 平台 之 中 ， 它 是 对 Docker 最 具 针 
对 性 的 一 个 。 


Rancher 的 入 门 非常 简单 ， 只 需要 在 一 台 主 机 上 运行 Rancher 服务 器 的 容器 : 
$ docker run -d --restart=always -p 8080:8080 rancher/server 


然后 ， 在 浏览 器 中 打开 主机 的 8080 端口 ， 就 能 看 到 Rancher 的 界面 。 在 网 页 上 ， 你 可 以 
开始 添加 主机 ， 主 机 可 以 是 你 的 架构 中 的 虚拟 机 或 者 云端 的 资源 。 如 果 你 使 用 像 Digital 
Ocean 或 AWS 的 公有 云 ， 并 把 访问 密 钥 提 供给 Rancher 的 话 ， 它 便 能 自动 把 虚拟 机 部 署 妥 
当 。 如 果 选 择 在 现 有 的 虚拟 机 上 安装 Rancher， 你 只 需 参 照 Rancher 的 网 页 上 提供 的 参数 ， 
在 主机 上 执行 Rancher 代理 时 附 上 这 些 参数 即 可 ,例子 如 下 : 


$ docker run -d --privileged -v /var/run/docker.sock:/var/run/docker.sock \ 
rancher/agent:v0.8.1 http://<host_ip>:8080/v1/scripts/<token> 


Rancher 需要 加 载 Docker 的 sock 文件 ， 之 后 才能 在 主机 上 启动 新 的 容器 。 当 代理 启动 并 运 
行 起 来 后 ， 它 便 会 出 现在 Rancher 页 面 的 HOSTS 标签 页 上 。 基 础 设施 的 页 面 上 显示 了 所 
有 正在 主机 上 运行 的 容器 (除了 Rancher 代理 ) 。 如 果 只 是 测试 的 话 ，Rancher 服务 器 与 代 
可 以 运行 在 同一 台 主 机 上 ， 但 Rancher 建议 服务 器 在 生产 环境 中 使 用 专属 的 主机 。 


在 Rancher 上 运行 identidock 轻而易举 ， 只 需 为 每 个 容器 创建 一 个 服务 ， 然 后 把 identidock 
服务 连接 到 dnmonster 和 Redis 服务 即 可 。 还 可 以 选择 把 identidock 使 用 的 9000 端口 映射 
到 80 端口 。 除 此 以 外 ， 没 有 其 他 端口 需要 开放 ，Rancher 会 负责 处 理 跨 主机 的 联网 ， 以 及 
安排 容器 到 合适 的 主机 上 运行 。 图 12-5 展示 了 在 一 个 由 Rancher 管理 的 拥有 两 台 主 机 的 集 
群 上 运行 的 identidock。 
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12-5: 在 Rancher 上 运行 identidock 
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另外 ， 也 可 以 使 用 Rancher Compose (https://github.com/rancher/rancher-compose)， 它 是 一 
个 命令 行 工具 ， 用 于 把 Docker Compose 文件 部 署 到 Rancher 之 上 。 


使 用 Rancher 后 ， 你 就 能 很 轻松 地 获取 运行 中 的 容器 的 信息 ， 查 看 它们 的 日 志 ， 其 至 可 以 
运行 shell 对 进程 进行 调试 。 

虽然 目前 Rancher 以 自己 的 方式 来 实现 跨 主机 联网 (利用 IPsec，https://en.wikipedia.org/ 
wikiIPsec)、 服 务 发 现 和 简单 的 服务 编排 ， 但 它 正 打算 日 后 全 盘 改 用 Docker 的 栈 (也 就 
是 说 ， 服 务 编排 将 使 用 Swarm， 联网 将 采用 Docker 全 新 的 插件 框架 )。 它 也 正在 努力 与 
Kubernetes 和 Mesos 进行 整合 。Rancher 非常 容易 上 手 ， 在 现 有 的 系统 上 应 用 它 也 是 轻 而 
易 举 ， 因 此 很 值得 一 试 。 



































12.2.2 Clocker 


Clocker (http://www.clocker.io/) 是 一 套 基 于 Apache Brooklyn (http://brooklyn.apache.org/) 
的 自 托管 开源 容器 管理 平台 。 与 Rancher 相 比 ， 它 提供 的 方案 更 偏向 于 应 用 ， 而 且 它 还 允 
许 在 一 个 应 用 程序 中 混合 使 用 虚拟 机 和 容器 。 通 过 jclouds (https://jclouds.apache.org/) 工 
具 包 ， 它 能 够 支持 非常 多 的 云 服 务 平台 。 

掌握 Clocker 需要 下 一 些 工夫 。 下 载 之 后 ， 配 置 时 你 需要 提供 用 于 部 署 云 服务 的 令 牌 以 及 
访问 密 钥 。 配 置 完 成 后 ， 便 可 以 旋即 局 动 Clocker 云 了 ， 之 后 它 会 自动 部 署 主机 ， 还 会 自 
动 安装 Weave 或 Project Calico 供 联 网 之 用 。 

一 旦 Clocker 云 准备 就 绪 ， 便 可 以 启动 一 个 用 于 运行 Docker 容器 的 全 新 应 用 。 以 下 的 
YAML 文件 可 以 在 Clocker 上 启动 identidock: 






























































id: identidock 
name: "Identidock" 
location: my-docker-cloud 
services: 
- type: docker:redis:3 
name: redis 
id: redis 
openPorts: 
- 6379 
- type: docker:amouat/dnmonster:1.0 
name: dnmonster 
id: dnmonster 
openPorts: 
- 8080 
- type: docker:amouat/identidock:1.0 
name: identidock 
id: identidock 
portBindings: 
80: 9090 
Links : 
- $brooklyn:component("redis") 
- $brooklyn:component("dnmonster") 
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localhost:8081/8#v1/applications/mq74VGHay/entities/mq74VGHa/activi 





Applications @ 2 Summary Sensors Effectors policies Activity Advanced 
© Application (aLkf6Go4) Identidock 
> 
Status ~ 
© Identidock Status RUNNING 
v 网 
Service Up true 
图 redis 
Type org.apache.brooklyn.entity.stock.BasicApplication 
@ identidock ID mq74VGHa 
@ dnmonster Gt 
Config < 








12-6: Clocker 正 利用 Weave 和 AWS 运行 identidock 





Clocker 的 优点 在 于 ， 我 们 可 以 很 轻松 地 将 一 个 Docker 应 用 与 非 
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合 合 


化 的 资源 混合 使 用 。 


例如 ， 通 过 下 面 这 个 Redis 服务 的 YAML 文件 ， 我 们 可 以 把 Redis 容器 换 成 一 个 Redis 虚 


拟 机 .: 


- type: org.apache.brooklyn.entity.nosql.redis.RedisStore 
name: redis 
Location: jclouds:softlayer:lon02 
id: redis 
install.version: 3.0.0 
start.timeout: 10m 


这 个 配置 文件 的 意思 是 ， 在 SoftLayer 的 伦敦 数据 中 心 部 署 一 个 虚拟 机 ， 并 在 虚拟 机 内 安 





装 和 运行 Redis。 





撰写 这 本 书 的 时 候 ，Clocker 正在 快速 发 展 。 尽 管 它 目前 与 其 他 解决 方案 相 比 显得 有 点 粗 
烽 ， 但 它 选 择 了 使 用 Brooklyn 和 jclouds 的 技术 ， 这 就 意味 着 它 可 以 部 署 在 很 多 不 同 的 系 








统 上 ， 而 且 对 于 混合 各 种 不 同类 型 的 基础 设施 ， 它 也 能 应 付 自如 。 


12.2.3 Tutum 


N 


Tutum (https:Wwww.tutum.co/) 提供 了 一 个 用 于 部 署 和 管理 容器 的 托管 平台 。Tutum 非常 注 














重 可 用 性 ， 因 此 它 的 界面 设计 非常 简洁 。 

















Tutum 添加 节点 的 方式 有 两 种 ， 一 种 是 通过 提供 公有 云 的 用 户 凭据 ， 另 一 种 是 在 现 有 的 机 




















器 上 安装 Tutum 代理 。 代 理 以 守护 进程 的 形式 运行 ， 而 不 是 一 个 





持 所 有 操作 系统 (尤其 是 不 支持 由 Docker Machine 创建 的 boot2docker 镜像 ) 。 











注 6: Docker 于 2015 年 10 月 宣布 收购 Tutum， 该 网 站 已 于 2016 年 5 月 31 日 停止 运作 ， 其 服务 已 








Docker 的 Docker Cloud (https://cloud.docker.com/) 服务 。 一 一 译 者 注 





容器 ， 这 意味 着 它 不 能 








对 于 需要 互联 的 服务 ，Tutum 使 用 stackfiles 来 定义 不 同 的 服务 群 组 。 它 刻意 与 Compose 
文件 设计 得 非常 相似 ， 但 添加 了 一 些 与 服务 编排 和 扩展 相关 的 额外 字段 ， 如 target_num_ 
containers 和 deployment_strategy， 同 时 握 弃 了 诸如 user 和 cap_add 等 字段 。 

Tutum 的 内 部 采用 Weave (参见 11.5.2 节 ) 作为 跨 主机 网 络 和 服务 发 现 的 工具 。 


利用 Tutum 把 identidock 运行 起 来 也 很 轻松 。 图 12-7 展示 的 是 Tutum 的 仪表 盘 ， 其 中 显示 
identidock 正 运行 在 两 个 Digital Ocean 的 节点 上 。 





























功 tutum 














图 12-7: 在 Tutum 上 运行 identidock 


除了 Web 界面 外 ，Tutum 还 可 以 通过 REST API 和 Tutum 的 命令 行 工 具 进行 访问 。 


如 果 有 任何 人 需要 一 个 集中 式 的 服务 来 帮助 减轻 大 部 分 的 运 维 工作 ， 包 括 建立 、 配 置 和 运 
行 容器 化 服务 ， 那 么 Tutum 很 值得 一 试 。 如 果 你 希望 对 服务 有 绝对 的 控制 权 ， 或 者 你 对 信 
任 一 个 集中 式 的 服务 抱 有 疑虑 ， 那 么 Tutum 念 怕 就 不 太 适 合 你 了 。 


12.3 总 结 


显然 ， 有 很 多 服务 编排 、 集 群 以 及 容器 管理 的 方案 可 供 选 择 。 然 而 ， 不 同 的 选择 之 间 的 分 
野 一 般 都 很 明确 。 就 服务 编排 而 言 ， 我 的 观点 如 下 。 


。 Swarm 的 优点 (同时 也 是 它 的 缺点 ) 在 于 它 使 用 了 标准 的 Docker 接口 。 这 使 得 无 论 是 
使 用 它 还 是 把 它 整合 到 现 有 的 工作 流程 都 非常 容易 。 但 另 一 方面 ， 一 些 更 复杂 的 调度 方 
法 可 能 需要 用 到 自 定义 接口 ， 支 持 它们 就 会 比较 困难 。 

。 feet 是 一 个 低 阶 并 且 相 当 简 单 的 编排 层 ， 可 以 作为 运行 更 高 阶 的 编排 工具 〈 如 
Kubernetes) 或 定制 系统 的 基础 。 

。 Kubernetes 作为 一 个 编排 工具 ， 它 自 带 服务 发 现 和 复制 的 功能 ， 并 且 很 坚持 自己 的 一 套 
设计 理念 。 使 用 它 时 或 许 需要 对 现 有 应 用 程序 重新 设计 ， 但 如 果 使 用 得 当 ， 你 将 拥有 一 
个 可 容错 和 可 扩展 的 系统 。 

。 Mesos 是 一 个 低 阶 而 且 经 过 千 锤 百 炼 的 调度 程序 ， 支 持 多 个 容器 编排 框架 ， 包 括 


Marathon、Kubernetes 和 Swarm。 
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本 书写 作 之 际 ，Kubernetes 和 Mesos 比 Swarm 更 成 熟 也 更 稳定 。 扩 展 性 方面 ， 只 有 Mesos 
被 证 实 能 够 支持 几 百 个 到 几 千 个 节点 的 大 型 系统 。 然 而 ， 对 于 小 型 的 集群 ， 比 如 顶 多 十 几 
个 节点 的 集群 来 说 ，Mesos 或 许 会 过 于 繁复 。 

管理 平台 方面 ， 对 于 单纯 的 Docker 部 署 ，Rancher 是 个 不 错 的 选择 。 它 可 以 很 方便 地 添加 
到 现 有 的 系统 或 从 系统 移 除 ， 因 此 可 以 放心 试用 。 
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容器 安全 与 限制 容器 





为 了 能 够 安全 地 使 用 Docker， 你 必须 对 潜在 的 安全 问题 有 清楚 的 认识 ， 并 且 对 保护 容器 化 
系统 的 主要 工具 和 技术 有 所 了 解 。 本 章 将 从 生产 环境 中 运行 Docker 的 角度 出 发 来 讨论 其 
安全 性 ， 不 过 大 部 分 建议 同样 适用 于 开发 环境 。 即 使 增加 了 安全 性 的 考虑 ， 保 持 开发 环境 
和 生产 环境 的 一 致 性 也 仍然 非常 重要 ， 以 避免 代码 在 不 同 的 Docker 环 境 之 间 迁 移 时 出 现 
问题 。 

网 上 关于 Docker 的 帖子 和 新 闻 报 道 可 能 给 你 留 下 这 样 的 印象 : Docker 本 质 上 并 不 安全 ， 
它 不 适合 用 于 生产 环境 。 诚 然 ， 你 必须 对 如 何 安全 使 用 容器 有 所 了 解 ， 但 如 果 容 器 使 用 得 
当 ， 它 将 能 带 来 比 虚拟 机 或 裸 机 更 安全 和 更 高 效 的 系统 。 


本 章 的 开始 将 探讨 一 些 围 绕 容器 化 系统 安全 展开 的 事项 ， 这 些 事项 在 你 使 用 容器 时 必须 考 
虑 进去 。 






































免责 声明 
本 章 中 的 指导 仅 代 表 我 个 人 的 意见 。 我 不 是 安全 研究 员 ， 也 没有 负责 运行 任 


何 面向 公众 的 大 型 系统 。 话 虽 如 此 ， 我 相信 任何 遵循 本 章 指导 的 系统 ， 将 比 
现今 大 部 分 的 系统 更 为 安全 。 本 章 的 建议 并 不 构成 一 套 完整 的 解决 方案 ， 只 
能 作为 你 开发 自己 的 安全 措施 与 策略 时 的 依据 。 




















注 1: 有关 Docker 安全 性 方面 比较 好 的 文章 ， 包 括 由 红 帽 公司 的 Dan Walsh 在 opensource.com 网 站 上 刊登 
的 系列 文章 (https://opensource.com/business/14/7/docker-security-selinux)， 以 及 Jonathan Rudenberg 关 
于 镜像 的 安全 隐患 的 文章 (https://titanous.com/posts/docker-insecurity) ， 但 请 注意 ， 在 Jonathan 的 文 
章 中 提 及 的 问题 ， 很 多 都 已 经 通过 摘要 (digest) 和 公证 服务 (Notary) 项 目 得 到 解决 。 
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13.1 需要 考虑 的 事项 


那么 在 一 个 容器 化 的 环境 中 ， 有 哪些 安全 事项 是 你 必须 考虑 的 呢 ?” 下 面 的 列表 并 不 完全 ， 
但 应 该 足以 启发 一 些 思 芳 。 


内 核 漏 洞 


与 虚拟 机 不 同 ， 所 有 容器 以 及 主机 都 共同 使 用 一 个 内 核 ， 因 此 内 核 漏洞 的 严重 性 将 会 被 
放大 。 如 果 一 个 容器 引起 内 核 甬 溃 ， 那 么 整个 主机 都 会 被 弄 震 。 虚 拟 机 的 情况 就 好 很 
多 : 攻击 者 必须 先 经 过 虚拟 机 内 核 和 虚拟 机 管理 程序 ， 才 能 够 接触 到 主机 内 核 。 


拒绝 服务 (DoS) 攻击 


所 有 容器 共同 使 用 相同 的 内 核资 源 。 因 此 ， 如 果 一 个 容器 可 以 独占 某 些 资源 的 访问 权 ， 
包括 内 存 和 一 般 不 太 受 人 关注 的 资源 ， 例 如 用 户 ID (UID)， 那 么 将 会 导致 主机 上 的 其 
他 容器 资源 枯竭 ， 从 而 拒绝 服务 ， 使 合法 用 户 无 法 访问 部 分 或 整个 系统 。 

容器 突破 
即使 攻击 者 能 够 获得 一 个 容器 的 访问 权限 ， 他 也 不 能 进一步 获得 其 他 容器 或 主机 的 访问 
权 。 由 于 Docker 的 用 户 管理 并 未 采用 命名 空间 *， 任 何 可 以 突破 容器 的 进程 在 主机 上 将 
获得 与 容器 内 相同 的 权限 。 如 果 你 在 容器 内 是 root， 你 在 主机 上 同样 是 root。 这 也 意 
味 着 ， 你 必须 留心 潜在 的 权限 提升 (privilege escalation) 攻击 ， 这 种 攻击 往往 是 通过 一 
些 需要 额外 权限 的 应 用 程序 中 的 错误 ， 使 普通 用 户 能 够 获取 更 高 级 别 的 权限 ， 例 如 root 
用 户 的 权限 。 由 于 容器 技术 仍 处 于 起 步 阶段 ， 你 在 考虑 安全 性 的 时 候 ， 必 须 假 设 容器 突 
破 出 现 的 可 能 性 虽然 较 低 ， 但 并 非 完 全 不 可 能 。 

镜像 污染 
你 怎么 知道 你 正在 使 用 的 镜像 是 安全 的 呢 ?” 它 们 有 没有 被 算 改 过 ?镜像 真 的 是 来 自 它 们 
所 声称 的 来 源 吗 ? 如 果 攻 击 者 可 以 欺骗 你 运行 他 的 镜像 ， 那 么 你 的 主机 和 数据 将 受到 
威胁 。 同 样 ， 你 必须 确保 你 运行 的 镜像 是 最 新 的 ， 并 保证 不 包含 带 有 已 知 漏洞 的 软件 
版 本 。 

窗 钥 泄露 


当 容器 访问 数据 库 或 某 服务 时 ， 一 般 需 要 使 用 某 种 形式 的 密 钥 ， 例 如 API 密 钥 , 或 用 
户 名 和 密码 。 攻 击 者 如 果 能 够 掌握 密 钥 ， 他 就 能 够 访问 这 些 服务 。 由 于 微服 务 架 构 中 的 
容器 不 断 重复 局 动 和 停止 ， 相 较 于 只 有 数 个 长 时 间 运 行 的 虚拟 机 的 架构 ， 它 的 问题 就 更 
为 严重 。 之 前 的 9.7 节 中 已 经 讨论 过 共享 密 钥 的 解决 方案 。 























































































































注 2: Docker 已 从 1.10 版 本 开始 正式 支持 用 户 命名 空间 。 一 一 译 者 注 
注 3: 目前 Docker 正在 开发 把 容器 中 的 root 用 户 映 射 到 主机 上 的 普通 用 户 的 功能 。 这 将 大 大 削弱 当 容 器 突 
破发 生 时 攻击 者 的 能 力 ， 但 会 产生 新 的 数据 卷 所 有 者 问题 。 
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容器 与 命名 空间 
在 一 篇 广泛 引用 的 文章 中 ， 红 幅 公 司 的 Dan Walsh 提出 了 “Containers Do Not Contain 
(https://opensource.com/business/14/7/docker-security-selinux) 的 看 法 。 


他 主要 表达 的 意思 是 ， 容 器 使 用 的 资源 并 非 全 部 采用 了 命名 空间 。 已 采用 命名 空间 的 
资源 在 主机 上 会 被 映射 到 其 他 的 值 (例如 ， 容 器 中 PID 1 的 进程 ， 在 主机 上 或 其 他 容 
器 中 它们 的 PID 并 不 是 1) 。 与 此 相反 ， 未 采用 命名 空间 的 资源 在 主机 和 容器 上 都 是 一 
样 的 。 
未 采用 命名 空间 的 资源 列举 如 下 。 
用 户 ID (UID) 
容器 内 用 户 的 UID 和 在 主机 上 是 相同 的 。 这 就 意味 着 ， 如 果 容 器 以 root 用 户 运 行 
时 遭受 攻击 ， 那 么 攻击 者 就 能 拿 到 主机 上 的 root 身份 。 目 前 ， 把 容器 的 root 用 户 映 
射 到 主机 上 的 一 个 高 ID 用 户 的 开发 工作 正在 进行 中 ， 但 目前 尚未 完成 。 
内 核 钥匙 轩 
如 果 你 的 应 用 或 相关 的 程序 使 用 内 核 钥 是 图 来 处 理 窗 铀 或 类 似 的 东西 ， 那 么 你 必须 
清楚 这 一 点 : 密 钥 是 按 UID 区 分 的 ， 因 此 使 用 相同 UID 运行 的 容器 ， 以 及 主机 上 
的 相同 用 户 ， 部 可 以 取得 相同 的 密 铀 。 
内 核 本 身 以 及 任何 内 核 模 块 


当 容 器 加 载 内 核 模块 时 (这 需要 额外 权限 )， 主机 和 所 有 容器 者 能够 使 用 这 个 模块 ， 
包括 稍 后 讨论 的 Linux 安全 模块 (Linux Security Modules)。 





设备 
和 包括 磁盘 驱动 器 、 上 声卡 和 图 形 处 理 单元 (GPU ) 。 
系统 时 间 


如 果 在 容器 内 更 改 时 间 ， 那 么 主机 和 所 有 容器 的 系统 时 间 部 会 被 一 并 更 改 。 只 有 被 
授予 SYS_TIME 能 力 (capability) 的 容器 才 可 以 这 样 做 ， 而 且 这 不 是 默认 准许 的 。 











姓 容 置疑 ， 无 论 是 Docker 还 是 它 依赖 的 底层 Linux 内 核 技术 都 尚未 成 熟 ， 远 不 如 同等 的 虚 
拟 机 技术 那么 久 经 考验 。 至 少 目前 而 言 ， 容 器 尚未 提供 与 虚拟 机 相同 水 平 的 安全 保证 。 








注 4: 有 一 个 有 趣 的 和 争论， 争论 的 焦点 是 容器 能 否 像 虚拟 机 一 样 安全 。 虚 拟 机 的 支持 者 认为 ， 缺 乏 虚 拟 机 管 
理 程序 以 及 需要 共享 内 核资 源 ， 意 味 着 容器 的 安全 性 永远 不 会 太 高 。 容 器 的 支持 者 则 认为 ， 虚 拟 机 由 
于 其 攻击 面 较 大 而 更 容易 被 入 侵 ， 并 指出 虚拟 机 需要 大 量 复杂 且 高 权限 的 代码 ， 用 于 模拟 不 常用 的 硬 
件 [ 近 期 的 一 个 例子 就 是 VENOM (http://venom.crowdstrike.com/) 漏洞 ， 它 利用 了 模拟 软盘 驱动 器 
的 代码 中 存在 的 漏洞 ]。 
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13.2 ”纵深 防御 


那么 你 能 做 些 什 么 呢 ? 你 可 以 假设 漏洞 在 在， 用 纵深 防御 策略 保护 自己 。 试 想 一 座 城堡 ， 
里 面 设 有 多 重 防 御 ， 丝 是 为 阻止 各 类 攻击 而 设计 的 。 通 常 ， 城 堡 要 利用 护城河 或 当地 的 
地 理 环境 来 控制 进出 的 路 径 。 城 墙 用 很 厚 的 石头 建造 ， 以 抵御 火 攻 和 炮弹 的 攻击 。 城 墙 
内 还 有 用 作 防 御 的 城 埃 和 多 层 的 主楼 。 即 使 侵略 者 越过 了 一 道 防 线 ， 在 他 面前 还 有 更 多 
的 难关 。 


你 的 系统 防御 策略 也 应 该 是 多 重 的 。 例 如 ， 容 器 可 以 置 于 虚拟 机 中 运行 ,假如 容器 被 突破 
了 ， 还 有 另 一 重 防 御 可 以 防止 攻击 者 到 达 主 机 或 属于 其 他 用 户 的 容器 。 监 控 系 统 必 须 就 
位 ， 确 保 在 侦 测 到 异常 行为 时 通知 管理 员 。 你 还 应 该 部 署 防火 墙 ， 限制 从 网 络 访问 容器 的 
权限 ， 以 缩小 来 自 外 部 的 攻击 面 。 


最 小 权限 

另 一 个 必须 坚持 的 重要 原则 就 是 最 小 权限 。 每 个 进程 和 容器 ， 应 以 足够 执行 其 功能 的 最 低 

访问 权限 和 资源 运行 。 这 种 方法 的 主要 好 处 是 ， 当 一 个 容器 被 入 侵 后 ， 攻 击 者 尝试 访问 其 

他 数据 或 资源 时 ， 仍 然 会 受到 严重 限制 。 

。 你 可 以 采取 如 下 的 许多 措施 来 限制 容器 的 能 力 ， 以 达到 最 低 权 限 的 目的 。 

。 确保 容器 内 的 进程 没有 使 用 root 身份 运行 ， 这 样 即 使 进程 的 安全 漏洞 被 和 利用， 攻击 者 
仍然 无 法 取得 root 权限 。 

。 把 文件 系统 设 为 只 读 ， 使 攻击 者 无 法 履 写 数据 以 及 写 和 人 恶意 脚本 。 

。 减少 容器 能 够 调用 的 内 核 函 数 ， 以 缩小 社 在 的 攻击 面 。 

。 为 避免 已 被 入 侵 的 容器 或 程序 消耗 过 多 资源 (如 内 存 或 CPU) 以 至 于 把 主机 拖 垮 ， 从 
而 导致 拒绝 服务 (DoS) 攻击 ， 可 以 限制 容器 允许 使 用 的 资源 数量 

Docker 权限 == Root 权限 

本 章 重点 介绍 运行 容器 时 需要 注意 的 安全 问题 ， 不 过 你 也 必须 注意 谁 有 访问 

Docker 守护 进程 的 权限 ， 这 一 点 非常 重要 。 任 何 能 够 启动 和 运行 Docker 容器 

的 人 ， 都 相当 于 有 了 主机 的 root 权限 。 举 个 例子 ,假设 你 能 够 运行 这 个 命令 : 


$ docker run -v /:/homeroot -it debian bash 
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你 现在 就 可 以 访问 主机 上 的 任何 文件 或 程序 了 。 
如 果 你 的 Docker 守护 进程 允许 远程 API 访问 ， 请 务必 注意 如 何 保证 它 的 安 
全 ， 以 及 什么 人 可 以 访问 它 。 如 果 可 能 的 话 ， 限 制 它 只 能 在 内 网 中 访问 。 





























注 5: 最 小 权限 的 概念 首先 由 Jerome Saltzer 在 “Protection and the control of information sharing in multics” 
一 文中 提出 ， 他 在 其 中 说 道 :“ 系 统 上 的 每 个 程序 和 每 个 特权 用 户 ， 执 行 时 应 当 使 用 最 低 程度 的 权限 ， 
足够 完成 任务 便 可 。” (Communications of the ACM, vol. 17) 近日 ，Docker 的 Diogo Mgnica 和 Nathan 
McCauley 基于 Saltzer 发 表 的 原则 ， 提 倡 “ 最 小 权限 的 微服 务 ” 这 一 想法 。 
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13.3 ”如何 保 护 identidock 


为 了 使 读者 更 好 地 了 解 这 一 章 的 内 容 ， 这 一 节 会 介绍 如 何 保护 identidock 在 生产 环境 时 的 
安全 。identidock 没有 存储 任何 敏感 信息 ， 因 此 我 们 主要 关心 的 是 ， 攻 击 者 入 侵 服务 器 后 
把 它 变 成 发 送 垃圾 信息 或 类 似 的 工具 。 我 假设 该 identidock 具有 一 定 用 户 基础 ， 如 果 它 停 
止 工作 的 话 ， 至 少 它 的 用 户 群 会 感到 不 满 。 


需要 确保 的 主要 事项 如 下 。 


。 在 虚拟 机 或 专用 主机 上 运行 identidock 容 器 ,以 免 其 他 用 户 或 服务 受到 攻击 (参见 13.4 节 )。 

。 负载 均衡 器 或 反 向 代理 是 唯一 把 端口 暴露 于 外 界 的 容器 ， 这 将 使 得 攻击 面 大 幅度 缩减 。 

任何 监控 或 日 志 记 录 服 务 只 通过 私有 接口 或 VPN 开放 (参见 13.7.2 市 )。 

。 所 有 identidock 镜像 必须 定义 一 个 普通 用 户 ,并 且 不 会 以 root 身份 运行 (参见 13.7.1 节 )。 

。 所 有 identidock 镜像 必须 以 散 列 值 下 载 ， 或 以 安全 和 可 验证 的 方式 获得 (参见 13.6 节 )。 

。 确保 用 于 检测 异常 流量 或 行为 的 监控 和 警报 通知 机 制 已 各 就 各 位 (参见 第 10 章 )。 

。 所 有 容器 运行 的 软件 都 是 最 新 的 ， 而 且 以 生产 模式 运行 ， 调 试 信息 必须 关闭 (参见 11.5 
Ty 

。 如 果 主 机 已 有 AppArmor 或 SELinux， 那 么 就 使 用 它们 (参阅 13.9.1 节 和 13.9.2 节 )。 

。 对 Redis 增加 某 种 形式 的 访问 控制 或 密码 保护 。 

如 果 还 有 足够 的 时 间 ， 我 会 采取 以 下 措施 。 

。 从 identidock 镜像 删除 所 有 不 必要 的 setuid 二 进 制 文件 。 一 旦 攻击 者 获得 容器 的 访问 权 ， 
他 就 有 可 能 进一步 提 权 ， 这 样 做 可 以 减少 这 一 风险 (参见 13.7.3 节 )。 

。 在 可 能 的 情况 下 ， 把 文件 系统 设置 为 只 读 。dnmonster、identidock 和 redis 容器 可 以 在 
只 读 的 容器 文件 系统 运行 ， 但 redis 的 数据 卷 必须 为 可 写 入 (参见 13.7.7 节 )。 

。 放弃 不 必要 的 内 核 权 限 。dnmonster 和 identidock 容器 运行 时 将 放弃 全 部 内 核能 力 ( 参 

见 13.7.8 节 )。 

如 果 我 仍 有 疑虑 ， 或 者 运行 着 一 个 安全 敏感 度 很 高 的 服务 ， 我 会 采取 以 下 措施 。 

。 以 -m 参数 限 制 每 个 容器 的 内 存 上 限 。 这 样 做 可 以 防止 一 些 DoS 攻击 和 内 存 泄漏 。 前 提 

是 需要 对 容器 进行 分 析 ， 以 确定 最 大 的 内 存 使 用 量 ， 否 则 只 能 使 用 一 个 非常 宽松 的 限制 

直 。 

。 以 专门 类 型 的 容器 运行 SELinux。 这 是 一 个 非常 有 效 的 安全 措施 ， 但 使 用 它 需 要 做 大 量 
工作 ， 而 且 必 须 使 用 devicemapper 存储 驱动 程序 (参见 13.9.1 节 )。 

。 通过 uLimit 限制 进程 数量 。 这 个 限制 是 针对 容器 用 户 生 效 的 ， 因 此 它 比 想象 中 要 难 用 。 
它 有 助 于 阻止 用 作 DoS 攻击 的 fork 炸弹 的 威胁 (参见 13.7.9 节 )。 

。 加 密 内 部 通信 ， 提 高 攻击 者 自 改 数据 的 难度 。 

此 外 ， 系 统 应 该 有 定期 审核 ， 以 确保 一 切 都 是 最 新 的 ， 以 及 容器 没有 过 度 占用 资源 。 即 使 

是 像 identidock 这 样 的 小 应 用 ， 也 有 很 多 安全 措施 ， 而 且 还 有 更 多 的 措施 可 以 考虑 。 


本 章 的 其 余部 分 将 详细 讲述 如 何 实施 这 些 防御 措施 。 有 一 个 要 点 必须 牢记 ， 那 就 是 检查 和 
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注 6: 最 好 不 要 袖手旁观 …… 
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关卡 越 多 ， 就 越 有 机 会 阻止 攻击 者 造成 真正 的 破坏 。 若 防御 措施 使 用 不 当 ， 则 可 能 会 开放 
新 的 攻击 向 量 ， 从 而 影响 Docker 的 系统 安全 性 。 若 使 用 得 当 ， 则 能 在 提升 系统 隔离 性 的 
同时 限制 应 用 可 能 对 系统 造成 的 破坏 ， 从 而 最 终 提升 系统 安全 性 。 


13.4 ”以 主机 隔离 容器 

如 果 你 的 配置 是 为 多 个 容器 用 户 提供 服务 的 多 租户 架构 (无论 是 机 构 内 部 用 户 ， 还 是 外 部 

客户 )， 你 必须 确保 每 个 用 户 都 被 安置 在 一 个 独立 的 Docker 主机 上 ， 如 图 13-1 所 示 。 相 比 

于 多 个 用 户 共 用 主机 的 做 法 ， 这 样 做 效率 较 低 ， 并 且 将 会 增加 虚拟 机 或 机 器 的 数量 ， 但 对 

于 安全 性 而 言 却 是 非常 重要 的 。 这 样 做 最 主要 的 原因 是 防止 容器 突破 ， 容 器 突破 会 导致 攻 

击 者 能 够 进入 其 他 用 户 的 容器 ， 或 取得 其 他 用 户 的 数据 。 假 如 容器 真 的 被 突破 了 ， 攻 击 者 
会 被 限制 在 该 虚拟 机 或 机 器 内 ， 而 无 法 轻松 地 访问 属于 其 他 用 户 的 容器 。 
































和 二 
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图 13-1: 以 主机 隔离 容器 


同样 ， 如 果 你 的 容器 负责 处 理 或 储存 敏感 信息 ， 那 么 你 必须 将 它们 放 在 一 个 单独 的 主机 
上 ， 使 其 与 处 理 敏 感度 较 低 的 信息 的 容器 分 离 ， 尤 其 是 那些 运行 的 直接 面向 最 终 用 户 的 应 
用 程序 的 容器 。 例 如 ， 处 理 信 用 卡 信息 的 容器 必须 与 运行 Node.js 的 前 端 容器 分 离 。 

分 离 和 使 用 虚拟 机 还 可 以 提供 对 DoS 攻击 的 额外 保护 。 若 用 户 只 能 在 自己 的 虚拟 机 中 运 
行 ， 则 独占 主机 内 存 以 致 其 他 用 户 无 法 获取 所 需 资源 的 情况 将 不 可 能 发 生 。 

在 中 短期 内 ， 绝 大 多 数 容器 的 部 署 将 涉及 虚拟 机 的 使 用 。 尽 管 这 并 不 理想 ， 但 确实 意味 着 
我 们 可 以 兼 得 容器 的 高 效 性 与 虚拟 机 的 安全 性 。 


13.5 “进行 更 新 


能 够 迅速 更 新 运行 中 的 系统 ， 对 于 维持 系统 的 安全 性 至 关 重 要 ， 尤 其 是 当 漏洞 出 现在 常用 
的 工具 或 框架 中 时 。 
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更 新 容器 化 系统 的 过 程 大 致 包括 以 下 步骤 。 


(上 识别 出 需要 更 新 的 镜像 ， 包 括 基础 镜像 和 任何 相关 镜像 。 下 面 的 辅助 栏 “ 获 取 运 行 中 镜 
像 的 列表 ”将 解释 如 何 利 用 命令 行 工具 做 到 这 一 点 。 

(2) 获取 或 创建 每 个 基本 镜像 的 更 新 版 本 。 把 这 个 新 版 本 上 传 到 寄存 服务 器 或 下 载 站 点 。 

(3) 对 于 每 一 个 相关 的 镜像 ， 执 行 docker build 并 加 上 --no-cache 参数 ， 然 后 再 把 镜像 上 传 。 

(4) 在 每 个 Docker 主机 上 , 执行 docker puLL 以 确保 所 有 主机 的 镜像 都 是 最 新 的 。 

(5) 重启 每 个 Docker 主机 上 的 容器 。 

(6) 当 确 定 一 切 工作 正常 时 ， 你 可 以 删除 主机 上 旧 的 镜像 。 如 果 可 以 的 话 ， 也 把 寄存 服务 器 
中 的 镜像 删除 。 


其 中 的 一 些 步 又 说 起 来 容易 ， 但 做 起 来 并 不 是 那么 回 事 。 确 定 需 要 更 新 的 镜像 ， 可 能 需要 
执行 一 些 单调 乏味 的 工作 和 shell 技巧 。 重 启 容器 这 一 操作 假设 你 已 经 实现 了 某 种 对 滚动 更 
新 的 支持 ,或 者 你 可 以 忍受 停机 时 间 。 在 撰写 本 书 的 时 候 ， 疝 不 能 完全 删除 寄存 服务 器 中 
的 镜像 并 取 回 被 镜像 占用 的 磁盘 空间 ， 只 能 等 待 这 个 功能 完成 开发 。" 

如 果 你 使 用 Docker Hub 来 构建 镜像 ， 可 以 利用 仓库 链接 把 你 的 镜像 与 其 他 镜像 相连 ， 当 
被 连接 的 镜像 发 生变 化 时 ， 你 的 镜像 随即 重新 构建 。 因 此 ， 通 过 与 基础 镜像 相连 ， 当 基础 
镜像 发 生变 化 时 ， 你 的 镜像 就 会 自动 重建 。 






































获取 运行 中 镜像 的 列表 
下 面 的 命令 能 够 查看 所 有 运行 中 镜像 的 ID: 


$ docker inspect -f "{{.Image}}" $(docker ps -q) 
42a3cf88f3f0cce2b4bfb2ed714eec5ee937525b4c7e0a0f70daff18c3f2ee92 
41b730702607edf9b07c6098f0b704ff59c5d4361245e468c0d551f50eae6f84 


多 加 一 些 shell 命令 ， 可 以 获取 更 多 信息 : 


$ docker images --no-trunc | \ 

grep $(docker inspect -f "-e {{.Image}}" $(docker ps -q)) 
nginx latest 42a3cf88f... 2 weeks ago 132.8 MB 
debian latest 41b730702... 2 weeks ago 125.1 MB 


下 面 的 命令 能 够 获取 所 有 镜像， 以 及 它们 的 基础 或 中 间 镜 像 (要 取得 完整 的 ID， 可 以 
加 上 --no-trunc 参数 ) 


$ docker inspect -f "{{.Image}}" $(docker ps -q) | \ 
xargs -L 1 docker history -q 
41b730702607 
3cb35ae859e7 
42a3cf88f3f0 
e59ba510498b 
50c46b6286b9 
ee8776c93fde 
439e7909f795 




















注 7: 暂时 的 解决 方法 是 ,把 所 有 要 保留 的 镜像 下 载 下 来 ， 然 后 把 它们 推送 到 一 个 全 新 、 干 净 的 寄存 服务 器 。 
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09b5e8be9b692 
e7e840eed76b 
7ed37354d38d 
55516e2f2530 
97d05af69c46 
41b730702607 
3cb35ae859e7 


用 同样 的 方法 ， 可 以 扩展 刚才 的 命令 ， 获 得 这 些 镜像 的 详细 信息 : 


$ docker images | \ 
grep $(docker inspect -f "{{.Image}}" $(docker ps -q) | \ 
xargs -L 1 docker history -q | sed "s/^/\-e /") 
nginx latest 42a3cf88f3f0 2 weeks ago 132.8 MB 
debian latest 41b730702607 2 weeks ago 125.1 MB 


如 果 你 希望 结果 中 还 包括 中 间 镜 像 以 及 已 命名 的 镜像 的 详细 信息 ， 那 么 需要 在 docker 
images 命令 中 加 上 -a 参数 。 请 注意 ， 这 个 命令 有 一 个 很 容易 出 错 的 地 方 ， 那 就 是 如 果 主 
机 上 没有 基础 镜像 的 标签 版 本 ， 它 是 不 会 出 现在 列表 中 的 。 例 如 ， 官 方 的 Redis 镜像 是 基 
于 debian:wheezy 的 ， 但 如 果 你 还 没有 单独 在 主机 上 明确 地 把 debian:wheezy 镜像 下 载 下 
来 (而 且 镜 像 版 本 必须 完全 一 致 ) ， 它 在 docker images -a 的 输出 中 将 显示 为 <None>。 











当 你 需要 修复 一 个 在 第 三 方 镜 像 中 出 现 的 漏洞 (包括 官方 镜像 ) 时 ， 你 只 能 依靠 镜像 提供 
方 及 时 发 布 更 新 。 在 过 去 ， 供 应 商 曾 被 批评 反应 迟缓 。 如 果 遇 到 这 种 情况 ， 你 要 么 等 待 他 
们 发 布 更 新 ， 要 么 自己 来 构建 镜像 。 假 设 你 拥有 镜像 的 Dockerfile 和 源 代码 ， 构 建 自己 的 
镜像 可 能 是 一 个 简单 而 有 效 的 临时 解决 办 法 。 
这 种 做 法 可 以 与 典型 的 虚拟 机 做 法 作 比 较 。 一 般 虚 拟 机 采用 诸如 Puppet、Chef 或 Ansible 
等 配置 管理 (configuration-management，CM) 软件 ， 虚 拟 机 并 不 会 重建 ， 只 会 在 需要 的 时 
候 通 过 SSH 命令 或 虚拟 机 中 的 代理 程序 进行 更 新 和 修补 。 虽 然 这 种 方法 可 行 ， 但 会 造成 
不 同 虚 拟 机 的 状态 不 一 ， 跟 踪 和 更 新 虚拟 机 也 变 得 异常 复杂 。 然 而 必须 这 样 做 ， 因 为 可 以 
避免 重新 创建 虚拟 机 ， 并 免 去 维护 一 个 源 镜像 或 黄金 镜像 的 开销 。 虽 然 容 器 也 可 以 采用 配 
置 管理 的 方法 ， 但 这 样 做 将 导致 复杂 程度 大 增 ， 并 且 得 不 到 任何 好 处 。 由 于 容器 启动 速度 
快 ， 镜像 易于 构建 和 维护 ， 采 用 黄金 镜像 的 方法 将 较为 简单 ， 而 且 效 果 良 好 。? 

给 镜像 加 标签 

构建 镜像 时 尽量 使 用 标签 ， 这 有 助 于 识别 镜像 以 及 镜像 所 包含 的 内 容 。 这 

个 功能 在 1.6 版 本 中 出 现 ， 人 允许 镜像 的 作者 把 镜像 关联 任意 的 键 和 值 。 在 

Dockerfile 中 可 以 做 到 : 


FROM debian 
LABEL version 1.0. 
LABEL description "A test image for describing labels" 




































































注 8: 这 种 做 法 与 现今 的 “基础 设施 不 可 改变 ”这 一 概念 非常 相似 ， 它 的 意思 是 ， 基 础 设施 (包括 裸 机 、 虚 
拟 机 和 容器 ) 是 绝对 不 会 被 修改 的 ， 如 果 有 修改 的 必要 ， 那 么 它们 只 能 被 替换 。 
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你 还 可 以 更 进一步 ， 添 加 如 git 散 列 值 等 数据 ， 用 于 标示 构建 镜像 时 编译 的 
代码 版 本 ， 但 这 需要 使 用 模板 工具 或 类 似 方法 来 自动 更 新 这 个 值 。 
标签 也 可 以 在 容器 运行 时 附加 给 它 : 
$ docker run -d --name LabeL-test \ 
-L group=a debian sleep 100 


1d8d8b622ec86068dfa5cf251cbaca7540b7eaa67664a13Cc620006.. 
$ docker ;inspect -f '{{json .Config.Labels}}' LabeL-test 
































{"group":"a"} 
当 你 希望 在 运行 时 处 理 某 些 事件 ， 例 如 把 容器 动态 分 配 至 负载 均衡 器 时 ， 这 
将 非常 有 用 。 








有 了 时候 为 了 获得 Docker 的 新 功能 、 安 全 补丁 或 问题 修复 ， 需 要 更 新 Docker 的 守护 进程 。 
这 时 只 能 把 所 有 容器 迁移 到 一 台新 的 主机 ， 或 者 在 进行 更 新 时 暂时 把 容器 停止 。 建 议 订 
阅 docker-user (https://groups.google.com/forum/#!forum/docker-user) 或 docker-dev (https:// 
groups.google.com/forum/#!forum/docker-dev) 谷歌 群 组 ， 以 便 获 得 重要 更 新 的 通知 。 


避免 使 用 不 再 支持 的 驱动 程序 


尽管 Docker 出 现 的 时 间 不 长 ， 它 已 经 历 了 好 几 个 发 展 阶段 ， 其 至 有 些 功 能 已 经 过 时 或 不 
再 维护 。 继 续 依 赖 这 些 功 能 将 产生 安全 隐患 ， 因 为 它们 不 像 Docker 的 其 他 部 分 一 样 受到 
同等 程度 的 关注 和 更 新 。 同 样 情况 也 适用 于 与 Docker 关联 的 驱动 和 扩展 程序 。 


在 此 要 特别 指出 的 是 ，LXC 的 执行 驱动 已 经 过 时 了 ， 你 不 应 该 使 用 它 。 现 在 它 是 默认 关闭 
的 ， 但 你 应 该 检查 你 的 守护 进程 ， 确 保 运 行 时 没有 使 用 -e lxc 参数 。 


存储 驱动 程序 是 另 一 个 开发 非常 活跃 且 更 改 频繁 的 功能 。 本 书写 作 之 际 ，Docker 推荐 的 
存储 驱动 程序 正 从 AUFS 转向 Overlay。AUFS 已 被 移出 内 核 ， 并 且 不 再 开发 ， 因 此 建议 
AUFS 的 用 户 尽早 转向 使 用 Overlay 驱动 。 


13.6 ”镜像 出 处 


为 了 能 安全 地 使 用 镜像 ， 我 们 需要 保证 镜像 的 出 处 (provenance) 的 真实 性 ， 即 它们 来 自 
哪里 ， 以 及 由 谁 创建 。 必 须 确 保 我 们 得 到 的 镜像 与 原作 者 测试 的 是 同一 个 ， 无 论 是 在 储存 
还 是 传送 的 过 程 中 都 没有 被 自 改 过 。 如 果 无 法 验证 这 一 点 ， 那 么 镜像 有 可 能 已 经 损坏 了 ， 
而 更 糟糕 的 是 ， 它 还 有 可 能 被 换 成 含有 恶意 程序 的 镜像 。 前 文 已 经 讨论 过 Docker 的 安全 
问题 ， 这 确实 是 一 个 关注 的 重点 ， 你 应 该 假设 恶意 镜像 真 的 能 够 完全 控制 你 的 主机 。 


在 计算 机 领域 ， 出 处 并 非 一 个 新 出 现 的 问题 。 建 立 软 件 或 数据 出 处 的 主要 工具 是 安全 散 
列 。 安 全 散 列 类 似 于 数据 指纹 ， 它 是 一 个 (相对 而 言 ) 长 度 很 短 的 字符 串 ， 针 对 不 同 数据 
能 产生 独一无二 的 散 列 值 。 任 何 对 数据 的 改变 将 导致 散 列 值 发 生变 化 。 计 算 安全 散 列 有 多 
个 不 同 的 算法 ， 区 别 在 于 复杂 度 和 散 列 值 唯一 性 的 保证 。 最 常见 的 算法 是 SHA 〈 它 有 数 个 
版 本 ) 和 MD5 (〈 它 本 身 存在 一 些 问题 ， 应 避免 使 用 )。 如 果 拥 有 数据 的 安全 散 列 和 数据 本 
身 ， 我 们 便 能 够 利用 数据 重新 算出 散 列 值 ， 然 后 把 两 个 散 列 值 进行 比较 。 如 果 两 个 散 列 值 
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一 样 ， 那 么 可 以 肯定 数据 没有 损坏 或 被 算 改 。 然 而 ， 你 可 能 会 问 : 为 什么 我 们 可 以 相信 和 散 
列 值 ? 攻击 者 难道 不 会 同时 修改 数据 和 散 列 值 吗 ? 回答 这 个 问题 的 最 佳 答案 是 加 密 签 名 和 
公共 /私有 密 钥 对 。 

通过 加 密 签名 ,我们 可 以 验证 一 个 物件 的 发 布 者 的 身份 。 如 果 发 布 者 使 用 他 的 私 钥 "签署 了 
一 个 物件 ， 那 么 这 个 物件 的 任何 接收 者 可 以 利用 发 布 者 的 公 钢 验证 该 签名 ， 以 核实 这 个 物 
件 是 否 来 自 这 个 发 布 者 。 假 如 接收 一 方 已 经 取得 发 布 者 的 公 钥 ， 而 发 布 者 的 密 钥 没 有 被 攻 
破 或 泄露 ,那么 我 们 可 以 肯定 内 容 确 实 来 自 该 发 布 者 ， 而 且 数 据 没有 被 自 改 过 。 


























13.6.1 Docker 摘 要 


在 Docker 中 ， 安 全 散 列 被 称 为 摘要 (digest)。 摘 要 是 一 个 文件 系统 层 或 清单 (manifest) 
的 SHA256 散 列 值 ， 清 单 是 一 个 元 数据 文件 ， 用 来 描述 Docker 镜像 的 组 成 部 分 。 由 于 清 
单 中 包含 一 个 所 有 镜像 层 的 列表 , 而 当中 都 附 上 每 个 镜像 层 的 摘要 ", 因此 如 果 你 能 够 验证 
清单 没有 被 算 改 ， 那 就 可 以 放心 下 载 和 信任 所 有 镜像 层 ， 即 使 是 通过 不 可 靠 的 通道 (例如 
HTTP) 。 


13.6.2 ”Docker 的 内 容 信 任 机 制 


Docker 在 1.8 版 本 中 引入 了 内 容 信 任 机 制 (content trust) ， 开 发 者 ”通过 它 能 够 对 他 们 的 内 
容 进 行 签署 。 这 个 机 制 出 现 后 ，Docker 的 内 容 发 布 机 制 已 经 是 完全 可 信 了 。 当 用 户 从 仓库 
下 载 镜像 时 ， 他 同时 会 收 到 一 张 包含 发 布 者 公 钥 的 证 书 ， 让 他 可 以 验证 镜像 是 否 真正 来 自 
该 发 布 者 。 

当 内 容 信 任 机 制 启 用 后 ，Docker 引擎 只 会 使 用 经 过 签署 的 镜像 ， 并 拒绝 运行 任何 签名 或 摘 
要 不 匹配 的 镜像 。 


下 面 来 看 看 内 容 信任 机 制 的 实际 使 用 情况 。 首 先 尝 试 下 载 已 签署 和 未 签署 的 镜像 : 


$ export DOCKER_CONTENT_TRUST=1 © 

$ docker pull debian:wheezy 

PuLL (1 of 1): debian:wheezy@sha256:c584131da2ac1948aa3e66468a4424b6aea2f33a... 
sha256:c584131da2ac1948aa3e66468a4424b6aea2f33acba7cec9b631bdb56254c4fe: Pul... 
4c8cbfd2973e: Pull complete 

60c52dbe9d91: Pull complete 

Digest: sha256:c584131da2ac1948aa3e66468a4424b6aea2f33acba7cec0b631bdb56254c4fe 
Status: Downloaded newer image for debian@sha256:c584131da2ac1948aa3e66468a4... 
Tagging debian@sha256:c584131da2ac1948aa3e66468a4424b6aea2f33acba7cec0b631bd... 
$ docker pull amouat/identidock:unsigned 

No trust data for unsigned 
























































@ 在 Docker 1.8 中 ， 必 须 设置 环境 变量 DOCKER_CONTENT_TRUST=1 才能 启用 内 容 信任 机 制 。 
而 往 后 的 版 本 中 ， 这 会 是 默认 启用 的 。 














注 9; 公开 密 钥 加 密 (public-key cryptography) 的 内 容 很 吸引 人 ， 但 关于 它 的 完整 讨论 超出 本 书 的 范围 。 详 

情 请 参阅 Bruce Schneier 的 《应 用 密码 学 》 一 书 。 
注 10: 类 似 的 结构 被 应 用 在 诸如 BitTorrent 的 协议 和 比特 币 中 ， 被 称 为 散 列 表 (hash list) 。 
注 11: 这 一 章 中 提 到 的 所 谓 发 布 者 ， 指 的 是 推送 镜像 的 任何 人 ， 并 不 仅 限于 大 企业 或 机 构 。 
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可 以 看 到 ， 由 官方 签署 的 Debian 镜像 可 以 成 功 下载 。 然 而 ，Docker 拒绝 下 载 未 签署 的 


amouat/identidock:unsigned 镜像 。 


那么 ， 如 何 推送 已 签署 的 镜像 呢 ? 做 起 来 极其 容易 ， 


$ docker push amouat/identidock:newest 
The push refers to a repository [docker.io/amouat/identidock] (Len: 1) 


843e2bded498: Image already exists 

newest: digest: sha256:1a0c4d72c5d52094fd246ec03d6b6ac43836440796da1043b6ed8. . . 
Signing and pushing trust metadata 

You are about to create a new root signing key passphrase. This passphrase 
will be used to protect the most sensitive key in your signing system. Please 
choose a long, complex passphrase and be careful to keep the password and the 
key file itself secure and backed up. It is highly recommended that you use a 
password manager to generate the passphrase and keep it safe. There will be no 
way to recover this key. You can find the key in your config directory. 

Enter passphrase for new offline key with id 70878f1: 

Repeat passphrase for new offline key with id 70878f1: 

Enter passphrase for new tagging key with id docker.io/amouat/identidock ... 
Repeat passphrase for new tagging key with id docker.io/amouat/identidock ... 
Finished initializing "docker.io/amouat/identidock" 


由 于 这 是 启用 内 容 信 任 机 制 后 第 一 次 推送 镜像 到 这 个 仓库 ，Docker 创建 了 一 个 新 的 根 签名 
密 钥 (root signing key) 和 标记 密 钥 (tagging key)。 稍 后 会 再 回来 解释 什么 是 标记 密 铀 ， 









































但 现在 请 谨 记 ， 你 必须 保持 根 密 钥 的 安全 性 和 保密 性 ， 这 一 点 非常 重要 。 如 果 遗 失 了 它 ， 
那么 会 非常 麻烦 ， 你 的 仓库 的 用 户 必须 手动 把 旧 的 证 书 删除 ， 否 则 他 们 将 无 法 下 载 新 的 镜 


像 或 更 新 现 有 镜像 。 
现在 ， 可 以 在 内 容 信 任 机 制 中 下 载 我 们 的 镜像 : 


$ docker rmi amouat/identidock:newest 

Untagged: amouat/identidock:newest 

$ docker pull amouat/identidock:newest 

Pull (1 of 1): amouat/identidock:newest@sha256:1a0c4d72c5d52094fd246ec03d6b6... 
sha256:1a0c4d72c5d52094fd246ec03d6b6ac43836440796da1043b6ed81ea4167eb71: Pul... 











7e7d073d42e9: Already exists 

Digest: sha256:1a0c4d72c5d52094fd246ec03d6b6ac43836440796da1043b6ed81ea4167eb71 
Status: Downloaded newer image for amouat/identidock@sha256:1a0c4d72c5d52094... 
Tagging amouat/identidock@sha256:1a0c4d72c5d52094fd246ec03d6b6ac43836440796d... 


如 果 你 从 来 没有 在 这 个 仓库 下 载 过 镜像 ，Docker 会 首先 取得 这 个 仓库 的 发 布 者 证 书 。 这 个 
动作 通过 HTTPS 完成 ， 因 此 风险 很 低 。 与 首次 使 用 SSH 连接 至 主机 时 的 情况 相似 ， 如 果 
Docker 显示 的 凭据 正确 ， 你 需要 表示 对 它 信 任 。 以 后 再 次 从 这 个 仓库 下 载 镜像 时 ， 镜 像 便 








会 以 现 有 的 证 书 进行 验证 。 

备份 签名 密 钥 

Docker 将 加 密 所 有 不 在 使 用 中 的 密 钥 ， 并 确保 私密 信息 不 会 写 人 磁盘 。 由 于 
密 钥 的 重要 性 ， 我 建议 把 它们 备份 在 两 个 加 密 的 癌 盘 上 ， 然 后 把 U 盘存 放 
在 安全 的 地 方 。 下 面 的 命令 可 用 于 创建 密 钥 的 TAR 文件 : 
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$ umask 077 

$ tar -zcvf private_keys_backup.tar.gz \ 
~/.docker/trust/private 

$ umask 022 


umask 命令 确保 文件 权限 为 只 读 。 
需要 注意 的 是 ， 根 密 钥 只 用 于 创建 或 撤消 密 钥 ， 因 此 它 可 以 在 不 使 用 时 离线 
存储 ， 为 了 安全 起 见 你 也 应 该 这 样 做 。 





现在 回 到 刚才 提 到 的 标记 密 钥 。 每 个 仓库 都 会 生成 一 个 标记 密 钥 ， 并 为 发 布 者 所 拥有 。 标 
记 密 钥 由 根 密 钥 签署 ， 这 使 得 任何 用 户 都 能 够 通过 发 布 者 的 证 书 来 验证 它 。 标 记 密 钥 可 以 
在 一 个 组 织 内 共享 ， 用 于 签署 这 个 仓库 中 的 任何 镜像 。 标 记 密 钥 产 生 后 ， 根 密 钥 便 可 以 拿 
到 安全 的 地 方 离线 存储 ， 你 也 应 该 这 样 做 。 

万 一 标记 密 钥 泄 露 了 ， 它 还 是 有 可 能 恢复 的 。 通 过 轮转 标签 密 钥 ， 已 泄露 的 密 钥 便 可 以 从 
系统 中 删除 。 这 个 过 程 是 在 用 户 不 知情 的 情况 下 进行 的 ， 而 且 你 可 以 预先 采取 行动 ， 以 防 
未 知 的 密 钥 泄 露 。 


内 容 信任 机 制 还 可 以 保证 镜像 为 最 新 ， 从 而 能 够 抵御 重 放 攻击 (replay attack)。 重 放 攻 击 
缘 于 某 事 物 被 替换 成 先前 有 效 时 的 状态 。 例 如 ， 攻 击 者 把 一 个 二 进 制 文件 替换 成 先前 由 发 
布 者 签署 ， 但 含有 安全 漏洞 的 旧版 本 。 由 于 这 个 二 进 制 文件 的 签名 是 正确 的 ， 用 户 便 有 可 
能 被 诱骗 运行 这 个 含有 漏洞 的 版 本 。 为 了 避免 这 种 事情 发 生 ， 内 容 信任 机 制 利用 每 个 仓库 
都 有 的 时 间 改 密 铀 。 时 间 改 密 钥 用 于 签署 与 仓库 相关 的 元 数据 。 元 数据 的 有 效 期 很 短 ， 因 
此 需要 时 间 惟 密 钥 不 断 地 为 它 重 新 签署 。 在 下 载 镜像 前 ， 先 验证 元 数据 是 否 过 期 ，Docker 
客户 端 便 可 以 确认 它 接 收 的 镜像 是 最 新 的 。 时 间 惟 密 钥 由 Docker Hub 管理 ， 无 需 发 布 者 
做 任何 管理 工作 。 


一 个 仓库 可 以 同时 存储 已 签署 和 未 签署 的 镜像 。 如 有 果 你 已 启用 内 容 信 任 机 制 ， 但 希望 下 载 
未 签署 的 镜像 ， 可 以 使 用 --disable-content-trust 参数 : 


$ docker pull amouat/identidock:unsigned 

No trust data for unsigned 

$ docker pull --disable-content-trust amouat/identidock:unsigned 
unsigned: Pulling from amouat/identidock 









































7e7d073d42e9: Already exists 
Digest: sha256:ea9143ea9952ca27bfd618ce718501d97180dbf1b5857ff33467dfdae08f57be 
Status: Downloaded newer image for amouat/identidock:unsigned 


想 要 了 解 更 多 有 关内 容 信 任 机 制 (https://docs.docker.com/engine/security/trust/content_trust/) 
的 内 容 ， 请 参阅 Docker 的 官方 文档 以 及 更 新 框架 规范 (The Update Framework，https:// 
theupdateframework.github.io/) ， 内 容 信任 是 基于 这 个 规范 实现 的 。 

虽然 这 个 机 制 颇 为 复杂 ， 其 中 还 涉及 多 套 密 钥 ， 但 Docker 一 直 致力 于 确保 最 终 用 户 能 够 
轻松 地 使 用 它 。 和 凭借 内 容 信 任 机 制 ，Docker 已 开发 出 一 个 用 户 友 好 和 现代 化 的 安全 框架 ， 
以 保证 镜像 出 处 的 真实 性 、 镜 像 一 直 为 最 新 ， 以 及 镜像 的 完整 性 。 

内 容 信任 机 制 在 Docker Hub 上 已 经 启用 ， 如 今 正在 运作 中 。 如 果 你 需要 在 本 地 的 寄存 服 
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务 中 配置 内 容 信 任 机 制 ， 那 么 还 需要 配置 和 部 署 公证 服务 器 (Notary server，https://github. 
com/docker/notary ) 。 





公证 服务 
Docker 公证 项 目 (https://github.com/docker/notary) 是 一 个 通用 的 C/S 架构 服务 ， 它 允 
许 在 发 布 和 访问 内 容 时 ， 能 够 以 可 信和 安全 的 方式 进行 。 公 证 项 目 基 于 更 新 框架 〈The 
Update Framework) 规范 开发 ， 更 新 框架 规范 定义 了 一 个 用 于 分 发 和 更 新 内 容 的 安全 
设计 。 
Docker 的 内 容 信任 框架 基本 上 是 一 个 公证 项 目 与 Docker API 的 集成 。 只 需 运 行 寄 存 服 
务 及 公证 服务 器 ， 机 构 便 能 够 为 用 户 提供 可 信任 的 镜像 。 然 而 ， 公 证 服务 原本 的 设计 
是 独立 运作 的 ， 因 此 它 可 用 于 很 多 不 同 的 场景 。 
公证 服务 的 一 个 主要 用 例 是 改进 常用 的 curl | sh 命令 ， 通 过 公证 服务 可 以 提升 它 的 
安全 性 和 可 信和 度 。 这 个 命令 一 般 出 现在 Docker 的 安装 说 明 中 : 


$ curl -sSL https://get.docker.com/ | sh 


如 果 在 下 载 过 程 中 被 恶意 甘 改 的 话 ， 无 论 是 在 服务 器 上 ， 还 是 在 传输 过 程 中 ， 攻 击 者 
能 够 在 受害 者 的 计算 机 上 运行 任意 命令 。 使 用 HTTPS 能 够 阻止 攻击 者 在 传输 过 程 当中 
修改 数据 ， 但 他 们 仍然 可 以 把 下 载 提 前 终止 ， 并 恶意 截断 代码 。 刚 才 的 例子 在 使 用 公 
证 服务 后 将 会 变 成 这 样 : 


$ curl http://get.docker.com/ | notary verify docker.com/scripts v1 | sh 


执行 notary 命令 时 ， 它 会 将 脚本 的 校 验 和 与 公证 服务 为 docker.com 而 设 的 可 信 储 存 中 
的 校 验 和 进行 匹配 。 如 果 匹 配 成 功 ， 那 就 能 够 证 明 脚本 确实 来 自 docker.com， 而且 未 
被 莫 改 。 如 果 匹 配 失败 ， 公 证 服务 便 会 退出 ， 那 就 没有 任何 数据 传 给 sh 执行 了 。 还 有 
一 点 值得 注意 ， 那 就 是 脚本 本 身 通过 不 安全 的 通道 传送 是 没有 问题 的 ， 而 这 里 使 用 的 
正 是 HTTP。 你 不 用 担心 这 样 做 不 安全 ， 如 果 脚 本 在 传输 过 程 中 被 壬 改 ， 那 么 校 验 和 也 
会 随 之 变化 ， 公 证 服务 就 会 报错 。 











如 果 你 使 用 未 签名 的 镜像 ， 在 下 载 镜 像 时 ， 你 可 以 把 名 字 和 标签 改 为 摘要 ， 这 样 做 也 能 够 
验证 镜像 的 真 伪 。 例 如 : 


$ docker pull debian@sha256:f43366bc755696485050ce14e1429c481b6f0ca04505c4a3093d\ 
fdb4fafb899e 


撰写 这 一 部 分 的 时 候 ， 这 个 命令 会 下 载 debian:jessie 镜像 。 与 使 用 debian:jessie 标签 不 
一 样 ， 这 个 命令 保证 下 载 的 镜像 永远 是 同一 个 (或 根本 没有 对 应 的 镜像 )。 如 果 摘 要 能 够 
以 某 种 方法 安全 地 传送 和 验证 (例如 ， 由 可 信 的 一 方 通过 PGP 签名 的 电子 邮件 发 送 给 你 )， 
便 能 够 确保 镜像 的 真实 性 。 即 使 启用 了 内 容 信 任 机 制 ， 也 可 以 通过 摘要 来 下 载 镜像 。 

如 果 你 需要 发 布 镜像 ， 但 又 对 私人 的 寄存 服务 或 Docker Hub 不 太 信 任 ， 那 么 你 在 任何 时 
候 都 可 以 使 用 docker load 和 docker save 命令 来 导入 和 导出 镜像 。 至 于 镜像 分 发 ， 你 上 
以 在 内 部 网 站 提供 下 载 镜像 的 地 方 ， 甚 至 也 可 以 简单 使 用 复制 镜像 文件 的 方式 。 当 然 ， 如 
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果 你 选择 这 样 做， 你 可 能 会 发 现 其 实 你 一 步 步 地 把 Docker 的 寄存 服务 和 内 容 信任 功能 
新 实现 了 一 遍 。 


13.6.3 ”可 复制 及 可 信任 的 Dockerfile 


如 果 Dockerfile 每 次 都 能 产生 完全 相同 的 镜像 ， 这 是 最 理想 的 ， 但 在 现实 中 却 很 难 做 到 。 
一 模 一 样 的 Dockerfile 在 不 同时 间 产 生 的 镜像 都 可 能 不 一 样 。 显 然 这 是 很 有 问题 的 ， 因 为 
正如 前 文中 所 说 的 ， 我 们 将 难以 确保 镜像 中 包含 哪些 内 容 。 如 果 在 编写 Dockerfile 时 能 够 
遵守 以 下 的 规则 ， 那 么 离 构 建 可 复制 镜像 的 目标 就 不 远 了 。 






































在 FROM 指令 中 必须 使 用 标签 。 千 万 不 要 使 用 FROM redis 这 样 的 写法 ， 因 为 它 下 载 的 是 
Latest 标签 的 镜像 ， 而 实际 的 镜像 将 随 着 时 间 而 变化 ， 其 至 连 主 版 本 也 会 改变 。FROM 
redis:3.0 会 好 一 些 ， 但 镜像 仍然 会 因为 一 些小 的 更 新 或 问题 修复 而 改变 (虽然 这 可 能 
正 是 你 想 要 的 )。 如 果 你 想 确保 每 次 下 载 的 镜像 完全 相同 ， 正 如 之 前 说 过 的 ， 唯 一 的 方 
法 就 是 使 用 摘要 。 例 如 : 


FROM redis@sha256:3479bbcab384fa343b52743b933661335448f8166203688006... 


使 用 摘要 还 可 以 防止 镜像 意外 损坏 或 被 自 改 。 

使 用 包 管 理 器 安装 软件 时 提供 版 本 号 。 有 时 候 像 apt-get install cowsay 这 样 的 写法 是 可 
以 接受 的 ， 因 为 cowsay 不 太 可 能 推出 更 新 了 ， 但 apt-get instaLL cowsay=3.03+dfsg1-6 
这 样 的 写法 肯定 更 好 。 这 同样 适用 于 其 他 的 包 管 理 器 ， 例 如 pip， 如 果 可 以 的 话 ， 尽 量 
清楚 地 列 明 版 本 号 。 如 果 旧 的 软件 包 已 被 删除 ， 镜 像 构 建 就 会 失败 ， 不 过 这 样 就 相当 于 
一 个 警告 了 。 这 样 做 还 有 一 个 问题 有 待 解决 : 软件 包 有 可 能 还 依赖 其 他 的 包 ， 而 这 些 依 
赖 关 系 往往 只 以 >= 条 件 来 表示 ， 意 味 着 这 些 包 随时 有 可 能 改变 。 要 彻底 锁定 所 有 软件 
包 的 版 本 ， 你 需要 使 用 如 apty (http://www.aptly.info/) 这 类 的 工具 ， 它 可 以 帮助 你 制 
作 软 件 库 的 快照 。 

验证 任何 从 互联 网 下 载 的 软件 或 数据 。 这 意味 着 你 需要 使 用 校 验 和 以 及 加 密 签 名 。 这 是 
所 有 步骤 中 最 重要 的 一 个 。 如 果 你 没有 对 下 载 的 数据 进行 验证 的 话 ， 那 么 文件 意外 损坏 
或 攻击 者 恶意 算 改 数据 就 不 容易 被 察觉 。 尤 其 是 当 软 件 通过 HTTP 传送 时 ， 因 为 它 不 能 
提供 防御 中 间 人 攻击 的 保障 。 接 下 来 将 提供 这 方面 的 具体 建议 。 



















































































大 多 数 官方 镜像 的 Dockerfile 在 指定 版 本 时 ， 都 会 使 用 标签 以 及 对 下 载 的 数据 进行 验证 ， 
提供 了 很 好 的 例子 以 供 参 考 。 通 常 在 指定 基础 镜像 时 ， 它 们 还 会 使 用 特定 的 标签 ， 但 使 用 
包 管 理 器 安装 软件 时 则 可 能 不 会 指定 版 本 号 。 

在 Dockerfile 中 安全 下 载 软件 

大 多 数 情况 下 ， 软 件 供应 商都 会 提供 已 签名 的 校 验 和 ， 以 供用 户 验证 下 载 的 数据 。 举 个 例 
子 ， 官 方 Node.js 镜像 中 的 Dockerfile 包含 以 下 内 容 : 








RUN gpg --keyserver pool.sks-keyservers.net \ 
--recv-keys 7937DFD2AB06298B2293C3187D33FF9D0246406D \ 
114F43EE0176B71C7BC219DD50A3051F888C628D @ 


ENV NODE_VERSION 0.10.38 
ENV NPM_VERSION 2.10.0 
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RUN curl -SLO "http://nodejs.org/dist/v$NODE_VERSION/\ 
node-vSNODE_VERSION-Linux-x64.tar.gz" \ 驮 
&& curl -SLO "http://nodejs.org/dist/v$NODE_VERSION/SHASUMS256.txt.asc" \ © 
&& gpg --verify SHASUMS256.txt.asc \ 
&& grep " node-v$SNODE VERSION-linux-x64.tar.gz\$" SHASUMS256.txt.asc \ @ 
| sha256sum -c- © 


@ 获取 用 于 签署 Node.js 下 载 文件 的 GPG 密 钥 。 这 里 必须 信任 这 些 密 钥 都 是 正确 的 。 

@ 下载 Node.js 的 tar 包 。 

全 下载 tar 包 的 校 验 和 。 

@ 利用 GPG 验证 校 验 和 是 否 以 刚才 我 们 所 下 载 的 密 钥 签 署 。 

加 利用 sha256sum 工具 检查 校 验 和 与 压缩 包 是 否 匹 配 。 如 果 GPG 验证 或 校 验 和 验证 其 中 
一 项 失败 ， 镜 像 构建 便 会 中 止 。 


软件 包 有 可 能 以 第 三 方 仓库 的 方式 提供 ， 这 时 候 ， 把 仓库 和 它 的 签名 密 钥 添 加 到 系统 中 ， 
便 能 保证 下 载 时 的 安全 性 。 举 个 例子 ， 官 方 Nginx 镜像 的 Dockerfile 包含 以 下 内 容 : 
RUN apt-key adv --keyserver hkp://pgp.mit.edu:80 \ 
--recv-keys 573BFD6B3D8FBC641079A6ABABF5BD827BD9BF62 


RUN echo "deb http://nginx.org/packages/mainline/debian/ jessie nginx" \ 
>> /etc/apt/sources.list 


第 一 行 命令 获取 Nginx 的 签名 密 钥 (并 添加 到 密 钥 库 中 )， 第 二 行 命 Bs Nginx 的 软件 包 
库 添加 到 系统 的 软件 仓库 列表 中 。 之 后 ，Nginx dt 过 apt-get iinstall 
-y nginx 命令 进行 安装 (建议 指定 版 本 号 )。 


假如 发 布 者 没有 提供 已 签署 的 软件 包 或 校 验 和 ， 自 行 创建 一 个 也 很 简单 。 例 如 ， 为 某 个 
Redis 版 本 创建 校 验 和 : 
$ curL -s -o redis.tar.gz http://download.redis.io/releases/redis-3.0.1.tar.gz 


$ shalsum -b redis.tar.gz © 
fe1d06599042bfe6a0e738542f302ce9533dde88 *redis.tar.gz 


@ 这 里 创建 一 个 160 位 的 SHA1 校 验 和 。-b 参数 告诉 shalsun 程序 ， 我 们 处 理 的 是 二 进 制 
数据 而 非 文本 。 


完成 对 软件 的 测试 和 验证 后 ， 便 可 以 在 Dockerfile 中 加 上 如 下 指令 


RUN curl -SSL -o redis.tar.gz \ 
http://download.redis.io/releases/redis-3.0.1.tar.gz \ 
&& echo "fe1d06599042bfe6a0e738542f302ce9533dde88 *redis.tar.gz" \ 
| shaisum -c - 


这 个 命令 把 下 载 文件 另存 为 redis.tar.gz， 并 利用 shalsum 来 验证 校 验 和 。 如 果 验 证 失败 ， 
整个 命令 也 将 失败 ， 镜 像 生成 便 会 中 止 。 

如 果 发 布 新 版 本 的 频率 很 高 ， 每 次 发 布 都 要 改动 这 些 内 容 ， 这 样 做 的 工作 量 将 会 是 巨大 
的 ， 因 此 应 该 尽量 把 这 个 过 程 自动 化 。 在 很 多 官方 镜像 的 仓库 中 都 能 够 找到 用 于 自动 化 
更 新 的 update.sh 脚本 ， 例 如 这 个 (https://github.com/docker-library/wordpress/blob/master/ 
update.sh ) 。 
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13.7 ”安全 建议 


这 一 节 将 介绍 保护 容 堪 部 署 安全 的 一 些 可 操作 技巧 。 虽 然 并 非 全 部 建议 都 适用 于 所 有 部 署 
的 配置 ， 但 你 应 该 熟悉 其 中 你 能 运用 的 基本 工具 。 


大 部 分 的 建议 都 是 关于 如 何 限 制 容器 的 各 种 方法 ， 使 容器 无 法 对 主机 或 其 他 容器 造成 不 良 
影响 。 你 必须 牢记 ， 主 机 上 的 内 核资 源 ， 包 括 CPU、 内 存 、 网 络 、UID 等 ， 都 是 所 有 容器 
间 共 享 的。 如 果 某 个 容器 独占 了 任何 资源 ， 共 他 需要 这 个 资源 的 容器 就 无 法 正常 运行 。 更 
糟糕 的 是 ， 如 果 一 个 容器 可 以 利用 内 核 代码 中 的 漏洞 ， 那 么 它 就 有 可 能 使 主机 宕 机 ， 或 能 
够 入 侵 主 机 和 其 他 容器 。 这 可 能 是 不 小 心 造成 的 后 果 ， 也 可 能 是 一 些 有 缺 陷 的 程序 或 恶意 
攻击 行为 所 导致 的 ， 目 的 是 使 主机 无 法 正常 工作 ， 或 把 它 据 为 已 有 。 


13.7.1 设置 用 户 


永远 不 要 以 root 用 户 的 身份 在 容器 内 运行 正式 的 应 用 。 这 句 话 我 必须 不 断 重复 : 永远 不 要 
以 root 用 户 的 身份 在 容器 内 运行 正式 的 应 用 。 这 是 因为 ， 如 果 攻 击 者 攻破 了 应 用 程序 ， 那 
么 他 就 能 够 获得 容器 的 全 部 访问 权限 ， 包 括 它 的 数据 和 程序 。 更 糟糕 的 是 ， 如 果 他 能 突破 
容器 的 限制 ， 他 就 能 够 获得 主机 上 的 root 权限 。 你 应 该 不 会 在 虚拟 机 和 一 般 的 机 器 上 以 
root 运行 程序 ， 因 此 在 容器 内 也 不 要 这 样 做 。 


为 了 避免 使 用 root 用 户 的 身份 ， 你 的 Dockerfile 在 任何 情况 下 都 应 该 创建 一 个 普通 用 户 ， 
并 利用 USER 语句 或 entrypoint 脚本 切换 为 这 个 用 户 。 例 如 : 


RUN groupadd -r user_grp && useradd -r -g user_grp user 
USER User 


以 上 的 指令 创建 一 个 名 为 user_grp 的 用 户 组 ， 以 及 一 个 属于 这 个 组 的 名 为 user 的 新 用 户 。 
USER 语句 对 后 面 的 所 有 指令 ， 以 及 对 利用 这 个 镜像 局 动 的 容器 生效 。 因 此 ， 如 果 有 些 操作 
需要 以 root 执行 ， 例 如 安装 软件 ， 你 便 需 要 把 USER 指令 放 在 Dockerfile 靠 后 的 位 置 ， 让 需 
要 root 权限 的 操作 首先 执行 。 


很 多 官方 镜像 都 会 创建 普通 用 户 ， 但 不 一 定 以 UsER 指令 的 方式 切换 。 它 们 所 用 的 方法 可 能 
是 在 entrypoint 脚本 中 以 gosu 命令 切换 用 户 。 例 如 ， 官 方 Redis 镜像 的 entrypoint 脚本 是 这 
样 的 : 
#!/bin/bash 
set -e 
if [ "$1" = 'redis-server' ]; then 
chown -R redis . 
exec gosy redis "$@" 




























































































fi 
exec "5$@" 


脚本 中 的 chown -R redis . 命令 将 镜像 的 数据 目录 下 的 所 有 文件 改 成 redis 用 户 所 有 。 如 果 
Dockerfile 中 含有 USER 指令 的 话 ， 这 个 命令 将 会 失败 。 下 一 行 的 exec gosu redis "$@" 以 
redis 用 户 执 行 redis 命令 。 其 中 的 exec 命令 把 当前 的 shell 替换 为 redis 进程 并 成 为 PID 1， 
使 它 能 够 接收 正确 转发 过 来 的 任何 信号 。 
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使 用 gosu， 不 要 使 用 sudo 

当 需 要 以 其 他 用 户 身份 执行 命令 的 时 候 ， 传 统 上 都 会 使 用 sudo。 虽 然 sudo 
功能 强大 ， 而 且 历 史 和 悠久 ， 但 一 些 副作用 使 它 在 entrypoint 中 应 用 时 不 太 理 
想 。 例 如 ， 可 以 看 看 在 Ubuntu” 容器 中 执行 sudo ps aux 时 会 发 生 什 么 情况 : 


$ docker run --rm ubuntu:trusty sudo ps aux 




















USER PID %CPU ... COMMAND 
root 10.0 sudo ps aux 
root 5..0;0 ps aux 


我 们 看 到 有 两 个 进程 ， 一 个 属于 sudo， 另 一 个 是 真正 执行 的 命令 。 
相反 ， 如 果 在 Ubuntu 镜像 中 安装 gosu: 


$ docker run --rm amouat/ubuntu-with-gosu \ 
gosu root ps aux 
USER PID %CPU ... COMMAND 
root 1 00 ps aux 
这 里 只 有 一 个 进程 在 运行 ，gosu 执行 命令 后 便 完 全 退出 。 更 重要 的 是 ， 命 
令 以 PID 1 运行 ， 因 此 它 能 够 正确 地 接收 发 送 到 容器 的 任何 信号 ， 这 一 点 与 
sudo 不 同 。 
































如 果 你 的 程序 必须 以 root 身份 运行 〈 而 你 无 法 修改 程序 )， 你 应 该 考虑 使 用 如 sudo、 
SELinux (参见 13.9.1 节 ) 和 fakeroot 等 工具 来 约束 进程 。 


13.7.2 ”限制 容器 联网 


容器 应 仅仅 打开 在 生产 环境 中 必须 的 端口 ， 并 且 端 口上 只 对 所 需 的 容器 开放 。 虽 然 听 起 来 很 
简单 ， 但 实际 操作 并 非 如 此 ， 因 为 在 默认 情况 下 ， 无 论 端口 是 否 已 被 明确 声明 开放 ， 容 器 
之 间 都 可 以 互相 通信 。 通 过 Netcat 工具 我们 可 以 很 容易 的 证 实 这 一 点 : 
$ docker run --name nc-test -d amouat/network-utils nc -L 5001 0 
f57269e2805cf3305e41303eafefaba9bf8d996d87353b10d0ca577acc731186 
$ docker run \ 
-e IP=$(docker inspect -f {{.NetworkSettings.IPAddress}} nc-test) \ 
amouat/network-utils sh -c 'echo -n "hello" | nc -v $IP 5001' ©@ 
Connection to 172.17.0.3 5001 port [tcp/*] succeeded! 


$ docker logs nc-test 
hello 


@ 告诉 Netcat 监听 5001 端口 ， 并 打印 所 有 接收 到 的 信息 。 

@ 利用 Netcat 发 送 “hello” 到 第 一 个 容器 。 

尽管 没有 端口 被 发 布 或 开放 ， 第 二 个 容器 还 是 能 够 连接 到 nc-test。 运 行 Docker 守护 进程 时 
加 上 --icc=false 参数 可 以 改变 这 个 行为 。 这 个 参数 的 作用 是 关闭 容器 间 的 通信 ， 可 以 防止 
被 入 侵 的 容器 继而 攻击 其 他 容器 。 选 项 关闭 后 ， 任 何 已 明确 连接 的 容器 仍然 能 够 进行 通信 。 




















注 12: 这 里 使 用 的 是 Ubuntu 而 不 是 Debian， 因 为 Ubuntu 的 镜像 已 默认 包含 sudo。 
注 13: 这 里 使 用 的 是 OpenBSD 版 本 。 
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Docker 通过 设置 IPtables 规则 来 控制 容器 间 的 通信 (要 求 启动 守护 进程 时 设置 --iptables 























参数 ， 这 应 该 是 默认 行为 )。 
下 面 的 例子 演示 了 守护 进程 设置 --icc=false 的 效果 : 











$ cat /etc/default/docker | grep DOCKER_OPTS= 
DOCKER_OPTS="- -iptables=true --icc=false"” © 
$ docker run --name nc-test -d --expose 5001 amouat/network-utils nc -L 5001 
d7c267672c158e77563da31clee5948f138985b1f451cd2222cf248006491139 
$ docker run \ 
-e IP=$(docker inspect -f {{.NetworkSettings.IPAddress}} nc-test) 
amouat/network-utils sh -c 'echo -n "hello" | nc -w 2 -v $IP 5001' 名 
nc: connect to 172.17.0.10 port 5001 (tcp) timed out: Operation now in progress 
$ docker run \ 
--link nc-test:nc-test \ 
amouat/network-utils sh -c 'echo -n "hello" | nc -w 2 -v nc-test 5001' 
Connection to nc-test 5001 port [tcp/*] succeeded! 
$ docker logs nc-test 
hello 


@ 在 Ubuntu 上 ，Docker 守护 进程 通过 /etc/default/docker 中 的 DOCKER_OPTS 参数 进行 配置 。 
@ -w 2 参数 告诉 Netcat 超时 时 间 为 两 秒 。 





第 一 个 命令 连接 失败 ， 因 为 容器 间 的 通信 已 关闭 ， 而 且 没 有 用 到 Docker 连接 。 第 二 
令 连 接 成 功 ， 因 为 我 们 添加 了 Docker 连接 。 如 果 想 了 解 背 后 的 工作 原理 ， 可 以 分 另 


Dock 

















个 命 
兄 


| 在 








er 连接 存在 与 不 存在 的 情况 下 ， 尝 试 在 主机 上 运行 sudo iptables -L - 








- 





o 





在 主机 上 发 布 端口 时 ，Docker 默认 在 所 有 接口 (0.0.0.0) 上 发 布 。 不 过 ， 你 可 以 明确 指定 











希望 绑 定 的 接口 : 


$ docker run -p 87.245.78.43:8080:8080 -d myimage 


这 样 做 限制 通信 和 只 能 在 指定 的 接口 上 进行 ， 从 而 缩小 了 攻击 面 。 





13. 








7.3 删除 setuid 和 setgid 的 二 进 制 文件 

















你 的 应 用 程序 很 可 能 不 需要 使 用 任何 setuid 或 setgid 的 二 进 制 文件 “。 如 果 可 以 禁用 或 删除 
这 些 二 进 制 文件 ， 那 么 就 能 阻止 攻击 者 利用 它们 来 发 动 提 权 攻击 。 

要 找 出 镜像 中 所 有 的 这 些 二 进 制 文件 ， 可 以 执行 find / -perm +6000 -type f -exec ls 
-ld {} \;。 例 如 : 








$ docker run debian find / -perm +6000 -type f -exec ls -ld {} \; 2> /dev/null 


-rwsr-xr-x 1 root root 10248 Apr 15 00:02 /usr/lib/pt_chown 
-rwxr-sr-x 1 root shadow 62272 Nov 20 2014 /usr/bin/chage 
-rwsr-xr-x 1 root root 75376 Nov 20 2014 /usr/bin/gpasswd 
-rwsr-xr-x 1 root root 53616 Nov 20 2014 /usr/bin/chfn 
-rwsr-xr-x 1 root root 54192 Nov 20 2014 /usr/bin/passwd 
-rwsr-xr-x 1 root root 44464 Nov 20 2014 /usr/bin/chsh 





注 14: 

















setuid 和 setgid 的 二 进 制 文件 以 文件 的 所 有 者 身份 运行 ， 而 并 非 当 前 用 户 。 它 们 通常 用 于 允许 用 户 执 
行 某 些 需要 临时 提升 权限 的 任务 ， 例 如 设置 密码 。 

















-rwsr-xr-x 1 root root 39912 Nov 20 2014 /usr/bin/newgrp 
-rwxr-sr-x 1 root tty 27232 Mar 29 22:34 /usr/bin/wall 
-rwxr-sr-x 1 root shadow 22744 Nov 20 2014 /usr/bin/expiry 
-rwxr-sr-x 1 root shadow 35408 Aug 9 2014 /sbin/unix_chkpwd 
-rwsr-xr-x 1 root root 40000 Mar 29 22:34 /bin/mount 
-rwsr-xr-x 1 root root 40168 Nov 20 2014 /bin/su 

-rwsr-xr-x 1 root root 70576 Oct 28 2014 /bin/ping 
-rwsr-xr-x 1 root root 27416 Mar 29 22:34 /bin/umount 
-rwsr-xr-x 1 root root 61392 Oct 28 2014 /bin/ping6 





可 以 执行 chmod a-s 命令 来 移 除 二 进 制 文件 的 suid 设置 ， 从 而 消除 它们 的 危害 。 例 如 ， 可 
以 通过 下 面 的 Dockerfile 创建 一 个 已 清除 setuid/setgid 的 Debian 镜像 : 


FROM debian:wheezy 

















RUN find / -perm +6000 -type f -exec chmod a-s {} \; || true ©O 
@ 命令 行 中 的 || true 语句 用 于 忽略 find 命令 的 任何 错误 。 
现在 构建 镜像 并 运行 它 : 

$ docker build -t defanged-debian . 





Successfully built 526744cf1bc1 
docker run --rm defanged-debian \ 
find / -perm +6000 -type f -exec ls -ld {} \; 2> /dev/null | wc -1 
0 
$ 


可 能 你 的 Dockerfile 比 你 的 应 用 程序 更 依赖 setuid/setgid 二 进 制 文件 。 因 此 ， 你 可 以 等 到 
Dockerfile 接近 结尾 的 部 分 才 执 行 这 一 步 ， 好 让 setuid/setgid 二 进 制 文件 能 够 首先 执行 ， 但 
必须 在 改变 用 户 之 前 〈 如 果 应 用 以 root 权限 运行 ， 那 么 删除 setuid 二 进 制 文件 是 毫 无 意 
义 的 )。 


13.7.4 限制 内 存 使 用 


限制 内 存 使 用 ， 可 以 防止 DoS 攻击 和 应 用 程序 的 内 存 泄 漏 。 内 存 汽 漏 将 使 主机 的 内 存 慢 慢 
消耗 殖 尽 (如 果 遇 到 有 这 种 问题 的 应 用 程序 ， 你 可 以 让 它 自动 重启 以 维持 服务 水 平 ) 。 


docker run 的 -m 和 --memory-swap 参数 可 以 用 来 限制 容器 能 够 使 用 的 内 存 和 虚拟 内 存 容 
量 。 但 这 个 参数 的 名 字 不 太 好 理解 ， 其 实 --memory-swap 设置 的 是 总 共 的 内 存 容 量 ， 即 物 
理 内 存 加 上 虚拟 内 存 ， 而 不 仅仅 是 虚拟 内 存 。 上 默认 设置 是 没有 限制 内 存 使 用 的 。 如 果 只 用 
了 -m 参数 而 没有 - -memory-swap， 那 么 - -memory-swap 就 会 被 设置 为 -m 参数 的 一 倍 。 举 个 
例子 说 明 会 比较 容易 理解 。 下 面 我 们 将 使 用 amouat/stress 镜像 ， 因 为 它 包含 了 Unix 的 
stress 工具 (http://people.seas.harvard.edu/~apw/stress/)， 可 以 用 来 测试 进程 占用 资源 的 情 
况 。 在 这 个 例子 中 ， 我 们 会 告诉 它 分 配 一 定 的 内 存 : 
$ docker run -m 128m --memory-swap 128m amouat/stress \ 
stress --vm 1 --vm-bytes 127m -t 5s 


stress: info: [1] dispatching hogs: 0 cpu，0 io, 1 vm, 0 hdd 
stress: info: [1] successful run completed in 5s 
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$ docker run -m 128m --memory-swap 128m amouat/stress \ 
stress --vm 1 --vm-bytes 130m -t 5s @ 
stress: FAIL: [1] (416) <-- worker 6 got signal 9 
stress: NARN: [1] (418) now reaping child worker processes 
stress: FAIL: [1] (422) kill error: No such process 
stress: FAIL: [1] (452) failed run completed in 0s 
stress: info: [1] dispatching hogs: 0 cpu，0 io, 1 vm，0 hdd 
$ docker run -m 128m amouat/stress \ 
Stress --vm 1 --vm-bytes 255m -t 5s © 
stress: info: [1] dispatching hogs: 0 cpu，0 io, 1 vm, © hdd 
stress: info: [1] successfuL run completed in 5s 


@ 这 些 参 数 告诉 stress 运行 一 个 要 求 分 配 127MB 内 存 的 进程 ， 超 时 时 间 为 5 秒 。 

@ 这 一 次 尝试 请 求 130MB 内 存 ， 因 为 容器 只 有 128MB 的 内 存 ， 所 以 内 存 请 求 失 败 。 

@ 这 一 次 尝试 请 求 255MB 内 存 ， 因 为 - -swap-memory 的 值 默 认为 236MB ， 所 以 内 存 请 求 
成 功 。 


13.7.5 ”限制 CPU 使 用 


如 果 攻 击 者 可 以 取得 一 个 或 一 组 容器 ， 并 把 主机 上 的 CPU 完全 占用 的 话 ， 攻 击 者 便 能 够 
使 主机 上 的 其 他 容器 无 法 分 配 适 当 的 CPU 资源 ， 从 而 导致 系统 被 DoS 攻击 瘫痪 。 


Docker 控制 CPU 占有 率 是 依靠 相对 的 比重 ， 默 认 值 为 1024。 因 此 ， 所 有 容器 默认 都 有 相 
同 的 CPU 使 用 份额 。 


举 个 例子 就 容易 理解 了 。 我 们 将 利用 之 前 使 用 过 的 amouat/stress 镜像 来 启动 4 个 容器 ， 
但 这 一 次 它们 将 尝试 占用 尽 可 能 多 的 CPU 资源 ， 而 不 是 内 存 。 


$ docker run -d --name Load1 -c 2048 amouat/stress 
912a37982de1d8d3c4d38ed495b3c24a7910f9613a55a42667d6d28e1da71fe5 
$ docker run -d --name Load2 amouat/stress 
df69312a0c959041948857fca27b56539566fb5c7cda33139326f16485948bc8 
$ docker run -d --name Load3 -c 512 amouat/stress 
c2675318fefafa3e9bfc891fa303al6e72caf221ec23a4c222c2b889ea82d6e2 
$ docker run -d --name load4 -c 512 amouat/stress 
5c6e199423b59ae481d41268c867c705f25a5375d627ab7b59c5fbfbcfc1doe0 
$ docker stats $(docker ;inspect -f {{.Name}} $(docker ps -q)) 









































CONTAINER CPU % ... 
/Load1 392 .13% 
/Load2 200.56% 
/Load3 97.75% 
/Load4 99.36% 


在 这 个 例子 中 ， 容 器 toad1 的 比重 是 2048，load2 的 比重 是 默认 的 1024， 而 另外 两 个 容器 
的 比重 为 512。 我 的 计算 机 是 8 核 的 ， 因 此 一 共有 800% 的 CPU 可 以 分 配 ， 最 终 Loadl 得 
到 大 约 一 半 的 CPU，1Load2 得 到 四 分 之 一 ，load3 和 toad4 各 获得 八 分 之 一 。 如 果 运 行 的 容 
器 只 有 一 个 ， 那 么 它 就 能 够 用 尽 所 有 资源 。 

相对 比重 的 设计 意味 着 在 默认 设置 的 情况 下 ,没有 任何 容器 可 以 占用 过 多 资源 。 然 而 ， 你 
可 能 有 很 多 容器 “组 ”， 它 们 总 共 被 分 配 的 CPU 比 其 他 容器 要 多 ， 在 这 种 情况 下 ， 你 可 以 





























指定 容器 组 中 的 容器 使 用 较 低 的 默认 值 ， 以 保证 资源 能 够 被 公平 使 用 。 如 果 你 确实 有 必要 
指定 CPU 份额 ,务必 把 默认 值 考 虑 进去 ， 不 要 使 你 的 容器 获得 过 多 的 CPU， 而 应 该 让 没 
有 明确 设置 配额 的 容器 都 能 获得 合理 份额 的 资源 。 

另外 ，CPU 可 以 使 用 完全 公平 调度 器 (Completely Fair Scheduler，CFS) 进行 分 配 ， 方 法 
是 利用 --cpu-period 和 - -cpu-quota 参数 。 在 这 个 方法 中 ， 容 器 会 被 分 配 一 个 在 一 段 既 定 
时 间 内 能 够 使 用 的 CPU 配额 〈 以 微 秒 为 单位 )。 如 果 容 器 在 既定 时 间 内 使 用 的 CPU 超过 了 
配额 ， 它 就 必须 等 到 下 一 个 时 间 段 才能 够 继续 执行 。 例 如 : 


$ docker run -d --cpu-period=50000 --cpu-quota=25000 myimage 


假设 系统 只 有 一 颗 CPU， 这 个 容器 将 允许 每 50 毫秒 使 用 一 半 的 CPU。 有 关 CFS 的 更 多 信 
息 ， 请 参阅 Linux 内 核 文件 (https:/www.kernel.org/doc/Documentation/scheduler/sched-bwc.txt) 。 


13.7.6 ”限制 重新 启动 


如 果 容 器 不 断 崩 涡 之 后 又 不 断 重新 启动 ， 那 将 会 造成 大 量 系统 时 间 和 资源 浪费 ， 更 有 可 能 
导致 系统 无 法 访问 。 为 了 阻止 这 一 状况 发 生 ， 只 需 把 重启 策略 由 always 改 为 on-failure 
即 可 。 例 如 : 


$ docker run -d --restart=on-failure:10 my-flaky-image 



































在 这 个 例子 中 ，Docker 只 会 最 多 重启 容器 10 次。 当前 的 重启 次 数 可 以 通过 docker 
inspect 的 .RestartCount 元 数据 找到 : 


$ docker inspect -f "{{ .RestartCount }}" $(docker ps -1q) 

0 
Docker 重新 启动 容器 的 间隔 时 间 采 用 指数 递增 的 方式 (第 一 次 重启 等 待 100 毫秒 ， 下 一 次 
是 200 毫秒， 再 下 一 次 是 400 毫秒 ， 以 此 类 推 )。 对 于 尝试 利用 重启 功能 引发 的 DoS 攻击 
这 是 个 有 效 的 防止 措施 。 


13.7.7 ”限制 文件 系统 

阻止 攻击 者 写 入 文件 系统 ， 可 以 抵御 对 系统 的 一 些 攻击 ， 至 少 大 体 上 使 攻击 者 难以 得 
有 运 。 他 们 将 无 法 把 脚本 文件 写 进 去 ， 从 而 诱骗 你 的 程序 执行 它 ， 或 者 重 写 敏感 数据 或 配 
置 文件 。 
从 Docker 1.5 开始 ， 可 以 在 执行 docker run 时 使 用 --read-only 参数 ,把 容器 的 文件 系统 
设置 为 完全 只 读 : 


$ docker run --read-only debian touch x 
touch: cannot touch 'x': Read-only file system 


你 也 可 以 在 数据 卷 参数 之 后 加 上 :ro 来 达到 类 似 效 果 : 


$ docker run -v $(pwd):/pwd:ro debian touch /pwd/x 
touch: cannot touch '/pwd/x': Read-only file system 
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大 部 分 应 用 都 需要 写 入 文件， 因此 它们 在 完全 只 读 的 环境 中 无 法 运作 。 如 果 遇 到 这 种 情 
况 ， 可 以 找 出 应 用 程序 需要 写 入 的 文件 夹 和 文件 ， 然 后 只 针对 这 些 文件 以 数据 卷 的 方式 加 
载 它 们 。 

采用 这 种 方法 能 使 系统 审核 从 中 受益 良 多 。 如 果 可 以 肯定 容器 的 的 文件 系统 与 产生 它 的 镜 
像 完 全 相同 ， 那 么 在 执行 系统 审核 时 ， 只 需要 对 镜像 进行 离线 审核 即 可 ， 就 不 用 对 每 个 容 
器 逐一 检查 了 。 


13.7.8 ”限制 内 核能 


Linux 内 核定 义 了 一 些 特殊 的 权限 ， 即 所 谓 的 能 力 (capability)， 把 这 些 权限 分 配给 进程 
后 ， 进 程 就 能 够 获得 更 多 的 系统 权限 。 可 用 的 内 核能 力 涵盖 广泛 的 功能 ， 从 更 改 系统 时 间 
到 开启 网 络 套 接 字 。 从 前 ， 一 个 进程 要 么 拥有 完全 的 root 权限 ， 要 么 只 是 一 个 普通 用 户 ， 
没有 介 于 两 者 之 间 的 情况 。 对 于 ping 这 样 的 程序 而 言 ， 这 种 设计 是 尤其 不 便 的 ， 它 必须 拥 
有 root 的 权限 ， 只 因 需 要 打开 一 个 原始 网 络 套 接 字 (raw network socket)。 这 意味 着 ， 如 
果 ping 有 一 个 小 bug， 它 就 可 能 被 攻击 者 利用 ， 并 取得 系统 所 有 的 root 权限 。 随 着 内 核能 
力 的 出 现 ， 我 们 就 可 以 开发 出 一 个 只 具有 原始 网 络 套 接 字 能 力 的 ping， 而 无 需 完整 的 root 
权限 了 。 这 就 意味 着 潜在 的 攻击 者 能 够 从 程序 的 漏洞 中 得 到 的 东西 也 会 少 很 多 。 


默认 情况 下 ，Docker 运行 容器 时 只 授权 部 分 内 核能 力 。” 例 如， 容器 通常 不 允许 使 用 如 
GPU 或 声卡 的 硬件 设备 ， 或 加 载 内 核 模块 。 如 果 需 要 扩展 容器 的 权限 ， 可 以 在 执行 docker 
run 时 加 上 --privileged 参数 。 


就 安全 方面 而 言 ， 我 们 真正 想 做 到 的 是 尽 可 能 限制 容器 的 能 力 。 我 们 可 以 通过 - -cap-add 
和 --cap-drop 参数 来 控制 容器 可 用 的 功能 。 举 个 例子 ， 如 果 我 们 希望 能 够 更 改 系 统 时 间 
(不 要 真 的 照 着 做 ， 除 非 你 不 怕 把 系统 搞 乱 ) : 

$ docker run debian date -s "10 FEB 1981 10:00:00" 

Tue Feb 10 10:00:00 UTC 1981 

date: cannot set date: Operation not permitted 

$ docker run --cap-add SYS_TIME debian date -s "10 FEB 1981 10:00:00" 

Tue Feb 10 10:00:00 UTC 1981 


$ date 
Tue Feb 10 10:00:03 GMT 1981 


从 这 个 例子 可 以 看 到 ， 给 容器 加 上 SYS_TIME 权限 前 ， 系 统 日 期 是 无 法 修改 的 。 由 于 系统 时 
间 是 一 个 没有 命名 空间 特性 的 内 核 功能 ， 在 容器 内 设 定时 间 将 同时 改变 主机 和 其 他 容器 的 
时 间 。” 

更 严格 的 做 法 是 先 把 所 有 权限 清空 ， 然 后 只 把 我 们 需要 的 加 回去 : 





























































































































注 15: 它们 包括 CHOWN、DAC_OVERRIDE、FSETID、FOWNER、MKNOD、NET_RAW、SETGID、SETUID、SETFCAP、SETPCAP、 
NET_BIND_SERVICE、SYS_CHROOT、KILL 和 AUDIT_NRITE。 被 放弃 的 内 核能 力 中 比较 突出 的 包括 (但 不 限于 ) 
SYS_TIME、NET_ADMIN、SYS_MODULE、SYS_NICE 和 SYS_ADMIN。 有 关内 核能 力 的 完整 信息 ， 请 参阅 man 
capabilities, 

注 16: 如 果 你 跟着 例子 做 的 话 ， 那 么 你 的 系统 将 无 法 正常 运作 ， 直 到 你 把 系统 时 间 调 整 正 确 。 你 可 以 尝试 
执行 sudo ntpdate 或 sudo ntpdate-debian 改 回 正确 的 时 间 。 
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$ docker run --cap-drop all debian chown 100 /tmp 
chown: changing ownership of '/tmp': Operation not permitted 
$ docker run --cap-drop all --cap-add CHOWN debian chown 100 /tmp 


这 样 做 将 大 幅度 提高 系统 的 安全 性 。 即 使 攻击 者 能 成 功 入 侵 容 器 ， 他 能 调用 的 内 核 函 数 也 


很 大 程度 上 受到 限制 。 但 是 ， 目 前 还 存在 一 些 问 题 。 











。 你 怎么 知道 哪些 权限 是 可 以 放弃 的 ?不 断 尝试 与 修正 似乎 是 最 简单 的 方法 ， 但 你 有 可 能 
放弃 的 是 一 个 你 的 程序 很 少 才 用 到 的 权限 。 如 果 你 的 容器 有 完整 的 测试 套件 ， 或 者 你 采 
用 的 是 微服 务 架构 , 其 中 涉及 的 代码 和 部 件 都 比较 少 , 那么 确定 所 需 的 权限 就 比较 容易 。 

。 你 可 能 会 认为 ， 目 前 对 于 内 核能 力 的 分 类 还 不 够 理想 或 粒度 不 够 精细 。 尤 其 是 SYS_ 
ADMIN 这 个 能 力 包 含 了 非常 多 的 功能 ， 内 核 开 发 者 似乎 在 找 不 到 (或 嫌 麻 烦 不 想 找 ) 更 
合适 的 能 力 时 便 把 它 当 作 默 认 值 来 用 。 实 际 上 ， 这 样 做 违背 了 内 核能 力 设计 的 初 囊 ， 那 
就 是 为 了 消除 管理 用 户 与 普通 用 户 这 种 二 元 对 立 。 


13.7.9 ”应 用 资源 限制 


Linux 内 核定 义 了 一 些 用 于 进程 的 资源 限制 (ulimits)， 例 如 限制 进程 允许 fork 生成 的 子 进 
程 数 量 , 或 允许 开启 的 文件 描述 符 数 量 。 这 些 限 制 也 可 以 用 于 Docker 容器 ， 方 法 是 在 执行 
docker run 时 加 上 --uLimit 选项 ， 或 在 启动 Docker 守护 进程 时 加 上 --default-ulimit 选 
项 给 所 有 容器 设置 默认 值 。 选 项 的 参数 中 包括 两 个 数值 ， 一 个 是 非 强制 限制 (soft limit)， 
另 一 个 是 强制 限制 (hard limit)， 中 间 以 冒号 分 隔 ， 它 们 的 确切 作用 取决 于 参数 中 指定 要 
限制 哪 种 资源 。 如 果 只 提供 一 个 数值 ， 它 就 会 被 同时 用 作 非 强制 和 强制 限制 的 值 。 


关于 可 用 于 参数 的 限制 及 它们 的 意义 ， 可 以 在 man setrlimit 中 找到 完整 的 介绍 (注意 as 


限制 不 适用 于 容器 )。 下 


cpu 






































外 是 一 些 特 别 值得 注意 的 限制 。 











把 CPU 时 间 限 制 为 给 定 的 参数 ， 以 秒 为 单位 。 非 强制 限制 达到 后 ， 会 送出 一 个 SIGXCPU 
信号 给 容器 ;强制 限制 达到 后 ， 就 会 送出 SIGKILL 信号 。 这 里 以 之 前 在 13.7.4 节 和 
13.7.5 节 中 使 用 过 的 stress 工具 作为 例子 ， 看 看 如 何 最 大 限度 地 提高 CPU 的 使 用 率 : 





$ time docker run 





--Ulimit cpu=12:14 amouat/stress stress --cpu 1 


stress: FAIL: [1] (416) <-- worker 5 got signal 24 

stress: WARN: [1] (418) now reaping child worker processes 
stress: FAIL: [1] (422) kill error: No such process 

stress: FAIL: [1] (452) failed run completed in 12s 

stress: info: [1] dispatching hogs: 1 cpu，0 io, 0 vm，0 hdd 


reaL 0m12.765s 
user 0m0.247s 
sys 0m0.014s 


通过 设置 ulimit， 容 器 使 用 了 12 秒 CPU 后 便 被 终止 。 


这 个 方法 适用 于 限制 那些 由 其 他 进程 启动 的 容器 (例如 代替 用 户 执行 运算 工作 )， 限 定 
它们 能 够 使 用 多 少 CPU 时 间 。 以 这 种 方式 限制 CPU 的 使 用 ， 可 以 有 效 缓解 Dos 攻击 。 
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指定 容器 中 能 够 同时 开启 最 多 的 文件 描述 符 ”数量 。 同 样 ， 这 个 限制 可 以 用 来 抵御 DoS 
攻击 ， 并 确保 攻击 者 无 法 对 容器 或 数据 卷 进行 读 取 或 写 和 人 (请 注意 ， 如 果 要 做 到 这 一 


点 ， 











你 需要 将 nofile 的 数值 设置 为 最 大 数目 加 1)。 举 例如 下 : 


$ docker run --ulimit nofile=5 debian cat /etc/hostname 
b874469fe42b 

$ docker run --ulimit nofile=4 debian cat /etc/hostname 
Timestamp: 2015-05-29 17:02:46.956279781 +0000 UTC 
Code: System error 





Message: Failed to open /dev/null - open /mnt/sda1/var/Lib/docker/aufs... 





可 以 看 到 ， 虽 然 cat 只 需 开 启 一 个 文件 描述 符 ， 但 操作 系统 则 会 用 到 好 儿 个 。 确 定 你 也 
程序 实际 需要 使 用 多 少 文件 描述 符 是 很 困难 的 ， 你 可 以 在 设置 参数 时 指定 一 个 比较 大 的 
数目 ， 这 样 做 总 比 默认 的 1 048 576 个 文件 描述 符 上 限 能 够 提供 多 一 点 的 DoS 保护 。 




















nproc 
指定 运行 容器 的 用 户 能 够 创建 进程 的 最 大 数目 。 表 面 上 这 个 参数 很 有 用 ， 因 为 它 可 以 防 
止 fork 炸弹 和 其 他 类 型 的 攻击 。 可 惜 的 是 ，nproc 的 限制 不 是 针对 每 个 容器 ， 而 是 针对 
运行 这 个 容器 的 用 户 的 所 有 进程 而 设 定 的 。 例 如 : 


因为 




















$ docker run --user 500 --ulimit nproc=2 -d debian sleep 100 
92b162b1bb91af8413104792607b47507071c52a2e3128f0c6c7659bfbb84511 

$ docker run --user 500 --ulimit nproc=2 -d debian sleep 100 
158f98af66c8eb53702e985c8c6e95bf9925401c3901c082a11889182bc843cb 

$ docker run --user 500 --ulimit nproc=2 -d debian sleep 100 
6444e3b5f97803c02b62eae601fbb1dd5f1349031e0251613b9ff80871555664 

FATA[0000] Error response from daemon: Cannot start container 6444e3b5f9780. . . 
[8] System error: resource temporarily unavailable 

$ docker run --user 500 -d debian sleep 100 
f740ab7e0516f931f09b634c64e95b97d64dae5c883b0a349358c5995806e503 


已 经 有 两 个 属于 UID 500 用 户 的 进程 ， 所 以 第 三 个 容器 便 无 法 启动 。 然 而 ， 只 需要 把 











--ulimit 选项 拿 掉 ， 这 个 用 户 就 能 够 继续 创建 进程 了 。 虽 然 这 是 一 个 重大 缺陷 ， 但 对 于 同 


一 用 


另外 


13 
除了 


可 以 芳 虑 采用 grsecurity (https://grsecurity.net/) 和 PaX (https://pax.grsecurity.net/) 提供 


户 只 会 使 用 少量 容器 的 情况 下 ，nproc 限制 还 是 有 点 用 的 。 
， 请 注意 nproc 限制 不 适用 于 root 用 户 。 


.8 运行 加 固 内 核 


一 般 的 安全 措施 ， 例 如 保持 主机 的 操作 系统 为 最 新 ， 以 及 保证 问题 补丁 都 已 安装 ， 还 























的 补丁 ， 运 行 一 个 加 固 内 核 (hardened kernel)。 针 对 攻击 者 通过 修改 内 存 来 操纵 程序 执 


行 ( 





例如 缓冲 区 溢出 攻击 ) 这 种 问题 ，PaX 对 系统 提供 了 额外 保护 。 它 的 实现 方式 是 将 内 





注 17 





mi 





: 文件 描述 符 是 一 个 指向 系统 上 用 于 记录 已 开启 文件 列表 的 指针 。 每 当 需 要 对 一 个 文件 进行 访问 时 ， 
该 列表 便 会 创建 一 个 新 条 目 ， 其 中 会 记录 文件 的 访问 模式 ( 读 、 写 等 ) 以 及 指向 该 文件 的 指针 。 






































存 中 的 程序 代码 标记 为 不 可 写 入 ， 并 将 数据 标记 为 不 可 执行 。 此 外 ， 内 存 使 用 的 安排 被 随 
机 化 ， 使 得 试图 把 代码 重 定向 至 现 有 函数 例如 公共 库 中 的 系统 调用 ) 的 恶意 攻击 得 以 组 
解 。grsecurity 的 设计 是 与 PaX 互补 ， 它 的 补丁 包括 基于 角色 的 访问 控制 (RBAC)、 审 核 
以 及 各 种 琐碎 功能 。 

如 果 你 希望 使 用 PaX 和 grsecurity， 你 可 能 需要 亲自 为 内 核 打 补丁 和 进行 编译 。 你 可 能 
会 以 为 很 复杂 ， 其 实 不 然 ， 而 且 你 可 以 找到 大 量 的 参考 资源 [参见 维基 教科 书 (https:// 
en.wikibooks.org/wiki/Grsecurity/Configuring_and_Installing_grsecurity) 和 InsanityBit (http:// 



































www.insanitybit.com/2012/05/31/compile-and-patch-your-own-secure-linux-kernel-with-pax- 
and-grsecurity/) ]。 


这 些 安全 增强 功能 可 能 会 导致 菜 些 应 用 程序 无 法 工作 。PaX 会 与 任何 运行 时 生成 代码 的 程 
序 产 生 冲 突 。 此 外 ， 人 额外 的 安全 检查 和 措施 将 产生 少量 系统 开销 。 最 后 ， 如 果 你 使 用 的 是 
已 经 预先 编译 好 的 内 核 ， 你 必须 确保 它 的 版 本 足够 新 ， 这 样 才能 支持 你 的 Docker 版 本 。 


13.9 Linux 安 全 模块 


Linux 内 核定 义 了 Linux 安全 模块 (Linux Security Module，LSM) 接口 ， 为 了 实施 特定 
的 安全 策略 而 开发 的 各 种 内 核 模 块 都 需要 利用 这 个 接口 。 本 书写 作 之 际 已 经 出 现 了 数 个 
Linux 安全 模块 ， 其 中 包括 AppArmor、SELinux、Smack 以 及 TOMOYO Linux。 它 们 都 
超越 了 传统 文件 级 别 的 访问 控制 ， 对 于 进程 和 用 户 的 访问 权限 ， 它 们 提供 了 另 一 重 的 安全 
通常 与 Docker 一 起 使 用 的 模块 有 SELinux (一 般 用 于 红 帽 和 它 的 衍生 版 ) 和 AppArmor 
(一 般 用 于 Ubuntu 和 Debian 发 行 版 ) 。 接 下 来 就 看 看 这 两 个 内 核 模 块 。 





























13.9.1 SELinux 


SELinux， 全 称 为 安全 增强 Linux (Security Enhanced Linux)， 这 个 模块 是 由 美国 国家 安全 
局 (National Security Agency，NSA) 开发 ， 用 以 实现 其 宣称 的 强制 访问 控制 (Mandatory 
Access Control，MAC) ， 而 在 标准 的 Unix 上 使 用 的 是 自主 访问 控制 (Discretionary Access 
Control，DAC)。 以 比较 浅显 的 语言 表述 的 话 ， 由 SELinux 实施 的 访问 控制 和 标准 Linux 
的 访问 控制 有 两 个 主要 区 别 。 


。 SELinux 是 基于 类 型 (type) 来 执行 它 的 访问 控制 ， 类 型 基本 上 是 赋予 进程 和 对 象 ( 文 
件 、 套 接 字 等 ) 的 标签 。 如 果 SELinux 的 策略 是 禁止 类 型 A 的 进程 访问 类 型 B 的 对 象 ， 
那么 无 论 原来 对 象 的 文件 权限 或 用 户 的 访问 权限 是 否 人 允许， 这 个 访问 动作 都 将 被 禁止。 
SELinux 的 权限 检查 发 生 在 正常 文件 权限 检查 之 后 。 

。 可 以 实施 多 重 密级 ， 类 似 政府 中 制定 的 机 密 〈confidential) 、 秘 密 (secret) 以 至 绝密 
(top-secret) 级 别 。 较 低级 别 的 进程 不 能 读 取 由 较 高 级 别 的 进程 写 入 的 文件 ， 无 论文 件 
在 文件 系统 中 处 于 什么 位 置 ， 或 文件 权限 是 什么 。 因 此 ， 绝 密级 别 的 进程 可 以 在 /tmp 
目录 中 写 入 一 个 chmod 777 权限 的 文件 ， 但 机 密级 别 的 进程 仍然 无 法 访问 这 个 文件 。 在 
SELinux 中 ， 这 个 机 制 被 称 为 多 级 别 安 全 制度 (Multi-level security，MLS)， 另 外 还 有 
一 个 密切 相关 的 概念 称 为 多 类 别 安全 制度 (Multi-category security，MCS)。 在 MCS 的 
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设计 中 ， 进 程 和 对 象 被 赋予 各 种 类 别 ， 类 别 不 匹配 的 将 被 拒绝 资源 访问 。 与 MLS 不 同 ， 
类 别 之 间 没 有 重 琶 ， 并 且 不 按 等 级 划分 。MCS 可 以 针对 类 型 中 的 一 个 子 集 ， 限 制 它们 
的 资源 访问 权限 (例如 ， 通 过 使 用 一 个 独立 的 类 别 ， 我 们 可 以 限制 某 个 资源 只 供 单 一 进 
程 使 用 )。 
基于 红 帆 的 发 行 版 默认 自 带 SELinux， 在 其 他 发 行 版 上 安装 也 很 简单 。 执 行 sestatus 命令 
能 够 检查 SELinux 是 否 正 在 运行 。 如 果 该 命令 存在 ， 它 会 告诉 你 SELinux 的 状态 是 启用 还 
是 禁用 ， 处 于 许可 (permissive) 模式 还 是 强制 执行 (enforcing) 模式 。 当 SELinux 处 于 许 
可 模式 时 ， 它 只 会 把 不 正当 的 访问 记录 下 来 ， 但 不 会 强制 执行 它 。 
Docker 的 默认 SELinux 安全 策略 旨 在 保护 主机 不 受到 来 自 容器 的 攻击 ， 以 及 保护 容器 不 受 
到 来 自 其 他 容器 的 攻击 。 容 器 被 赋予 的 默认 进程 类 型 为 svirt_lxc_net_t， 而 容器 允许 访问 
的 文件 被 赋予 svirt_sandbox_file_t 类 型 。 这 个 安全 策略 强制 规定 容器 只 能 读 取 和 执行 主 
机 上 /usr 的 文件 ， 并 且 不 能 在 主机 上 写 入 任何 文件 。 每 个 容器 还 被 分 配 一 个 唯一 的 MCS 
类 别 编号 ， 这 是 为 了 防止 容器 被 突破 后 可 以 读 取 由 其 他 容器 写 入 的 文件 或 资源 。 
启用 SELinux 
如 果 你 正在 使 用 一 个 基于 红 帽 的 发 行 版 ， 那 么 SELinux 应 已 安装 。 在 命令 行 
执行 sestatus 命令 便 可 以 检查 SELinux 是 否 已 经 启用 ， 以 及 是 否 处 于 强制 执 
行 模式 。 编 辑 /etc/selinux/config 配置 文件 并 设 定 SELINUX=enforcing， 便 能 启 
用 SELINUX 并 将 其 设置 为 强制 模式 。 
你 还 需要 确定 Docker 守护 进程 已 启用 SELinux 的 支持 ， 检 查 它 在 执行 时 
有 没有 使 用 --selinux-enabled 参数 。 如 果 没 有 ， 你 需要 把 它 添加 到 /etc/ 
sysconfig/docker 文件 中 。 
启用 SELinux 还 必须 使 用 devicemapper 存储 驱动 程序 。 本 书写 作 之 际 ， 
SELinux 暂时 还 未 兼容 Overlay 和 BTRFS， 这 个 功能 仍 在 开发 中 。 
关于 如 何在 其 他 发 行 版 上 安装 SELinux， 请 参阅 相关 文档 。 有 一 点 你 必须 
注意 ，SELinux 需要 给 文件 系统 上 的 所 有 文件 赋予 标签 ， 这 需要 一 定时 间 。 
千 万 不 要 一 时 心血 来 淹 装 上 SELinux | 




























































































启用 SELinux 对 使 用 数据 卷 的 容器 有 直接 和 重大 的 影响 。 如 果 你 安装 了 SELinux， 那 么 将 
默认 不 能 读 取 或 写 人 数据 卷 : 

$ sestatus | grep mode 

Current mode: enforcing 

$ mkdir data 

$ echo "hello" > data/file 


$ docker run -v $(pwd)/data:/data debian cat /data/file 
cat: /data/file: Permission denied 


通过 检查 文件 夹 的 安全 上 下 文 就 能 知道 原因 : 


$ ls --scontext data 
unconfined_u:object_r:user_home_t:s0 file 


原因 是 数据 的 标签 与 容器 的 标签 不 匹配 。 解 决 方法 是 利用 chcon 命令 把 容器 的 标签 应 用 在 
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数据 上 ， 实 际 产生 的 效果 等 同 于 通知 系统 ， 我 们 期 待 容器 将 读 取 这 些 文件 : 


$ chcon -Rt svirt_sandbox_file_t data 

$ docker run -v $(pwd)/data:/data debian cat /data/file 

hello 

$ docker run -v $(pwd)/data:/data debian sh -c 'echo "bye" >> /data/fitLe' 
$ cat data/file 

hello 

bye 

$ ls --scontext data 

unconfined_u:object_r:svirt_ sandbox_file t:s0 file 


需要 注意 的 是 ， 如 果 你 只 针对 文件 执行 chcon 而 不 是 针对 父 目录 ， 这 将 导致 你 只 能 读 取 文 
件 ， 但 无 法 写 入 。 


从 1.7 版 开始 ， 如 果 在 加 载 数据 卷 时 加 上 :z 或 :z 后 级 ， 那 么 Docker 便 会 自动 给 数据 卷 重 
新 赋予 标签 ， 让 容器 能 正常 使 用 数据 卷 。:z 使 所 有 容器 都 能 够 使 用 被 重新 赋予 标签 的 数据 
卷 ( 这 是 数据 容器 所 必需 的 ， 因 为 它 需 要 与 多 个 容器 共享 数据 卷 );， 而 使 用 :z 的 数据 卷 只 
能 被 该 容器 使 用 。 例 如 : 

$ mkdir new_data 

$ echo "hello" > new_data/file 

$ docker run -v $(pwd)/new_data:/new_data debian cat /new_data/file 

cat: /new data/file: Permission denied 


$ docker run -v $(pwd)/new_data:/new_data:Z debian cat /new_data/file 
hello 


你 也 可 以 使 用 --security-opt 选项 更 改 容 器 的 标签 ， 或 禁止 给 容器 赋予 标签 : 


$ touch newfile 

$ docker run -v $(pwd)/newfile:/file --security-opt label:disable \ 
debian sh -c 'echo "hello" > /file' 

$ cat newfile 

hello 


一 个 有 趣 的 SELinux 标签 的 用 法 是 把 一 个 特定 标签 赋予 容器 ， 使 容器 强制 执行 某 个 特定 的 
安全 策略 。 例 如 ， 你 可 以 为 Nginx 容器 制定 一 个 只 允许 它 在 80 端口 和 443 端口 进行 通信 
的 安全 策略 。 


注意 ， 在 容器 内 将 无 法 运行 SELinux 的 命令 。SELinux 在 容器 内 将 被 视 为 关闭 ， 以 防止 应 
用 程序 和 用 户 试图 执行 设置 SELinux 策略 这 样 的 命令 ， 而 主机 也 会 禁止 这 些 命令 运行 。 
你 应 该 能 够 找到 很 多 工具 和 文章 帮助 你 制定 SELinux 的 安全 策略 。 其 中 有 一 个 值得 注意 的 
工具 叫 作 audit2allow， 它 可 以 把 许可 模式 下 运行 程序 时 产生 的 日 志 转 变 为 可 用 于 强制 执 
行 模式 的 策略 ， 而 不 会 影响 程序 的 执行 。 


SELinux 的 未 来 看 上 去 充满 希望 。 随 着 越 来 越 多 的 选项 和 默认 的 实现 被 加 入 Docker， 运 行 
SELinux 保护 的 部 署 应 该 会 变 得 更 简单 。 最 好 只 需 一 个 简单 的 参数 ， 就 能 够 利用 MCS 创 
建 适合 用 于 处 理 敏 感 信息 的 秘密 和 绝密 容器 。 遗 憾 的 是 ， 目 前 SELinux 的 用 户 体验 并 不 很 
好 。 一 般 初 次 接触 SELinux 的 用 户 总 是 看 到 “Permission Denied”( 因 未 授权 拒绝 访问 ) 错 
误 ， 而 且 对 哪里 出 错 毫 无 头绪 ， 对 如 何 解 决 也 一 筹 莫 展 。 开 发 者 不 愿意 在 使 用 Docker 时 
开启 SELinux， 导 致 开发 环境 与 生产 环境 不 一 致 ， 但 这 正 是 Docker 致力 于 解决 的 问题 。 
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如 果 你 希望 或 需要 SELinux 提供 额外 保护 ， 你 只 能 暂时 忍耐 目前 的 状况 ， 直 到 情况 有 所 
改善 。 








13.9.2 AppArmor 


AppArmor 的 优点 在 于 它 比 SELinux 简单 得 多 ， 但 这 同时 也 是 它 的 缺点 。 基 本 上 你 不 用 
做 任何 事情 ， 它 就 能 正常 运作 ， 并 且 不 会 对 你 的 程序 有 任何 干扰 ， 但 与 SELinux 相 比 ， 
AppArmor 无 法 提供 相同 粒度 的 保护 。AppArmor 的 工作 方式 是 将 描述 安全 策略 的 配置 文件 
应 用 到 进程 上 ， 限 制 进程 能 够 使 用 哪些 Linux 内 核能 力 和 拥有 哪些 文件 访问 权限 。 


假如 你 的 主机 运行 的 是 Ubuntu，AppArmor 很 可 能 已 经 在 运作 中 。 可 以 执行 sudo apparmor_ 
status 证 实 一 下 。Docker 将 自动 把 AppArmeor 的 安全 策略 应 用 在 每 个 被 启动 的 容器 上 。 默 
认 的 安全 策略 能 够 阻挡 流氓 容器 试图 访问 各 种 系统 资源 ， 配 置 文件 通常 位 于 /etc/apparmor. 
d/docker。 本 书写 作 之 际 ， 修 改 默 认 的 配置 文件 是 没有 用 的 ， 因 为 Docker 守护 程序 在 重启 
后 会 把 它 重 写 。 
如 果 AppArmor 干扰 容器 的 正常 运作 ， 可 以 把 那个 容器 的 AppArmor 关 掉 ， 方 法 是 在 执行 
docker run 时 使 用 --security-opt="apparmor:unconfined" 参数 。 如 果 和 希望 容器 使 用 另 一 
个 安全 配置 ， 可 以 在 执行 docker run 时 使 用 --security-opt="apparmor:PROFILE" 参数 ， 
而 其 中 的 PROFILE 是 AppArmor 已 加 载 的 安全 配置 文件 名 称 。 


13.10 ”审核 


定期 对 你 的 容器 和 镜像 进行 审核 或 审查 ， 是 保证 你 的 系统 处 于 干净 和 最 新 的 状态 的 一 个 很 
好 的 方法 ， 而 且 通 过 重复 检验 ， 可 以 确保 没有 尚未 察觉 的 安全 事故 。 审 核 一 个 容器 化 系 
统 ， 应 检查 所 有 正在 运行 的 容器 ， 确 保 使 用 的 镜像 是 最 新 的 ， 而 这 些 镜像 使 用 的 软件 也 应 
该 是 最 新 的 和 没有 安全 问题 的 。 如 果 发 现 容器 与 创建 该 容器 的 镜像 之 间 有 任何 差异 ， 那 就 
应 该 识别 问题 并 进行 详细 检查 。 此 外 ， 审 核 还 应 该 包括 那些 并 非 容 器 化 系统 独 有 的 地 方 ， 
例如 检查 访问 日 志 、 文 件 权 限 和 数据 完整 性 。 如 果 大 部 分 审核 工作 能 够 实现 自动 化 ， 它 们 
就 可 以 定期 执行 ， 问 题 也 能 够 尽早 发 现 。 

检查 容器 的 时 候 ， 不 一 定 需 要 登入 每 个 容器 并 对 它们 逐一 进行 检查 ， 我 们 可 以 审核 用 于 构 
建 容 器 的 镜像 ， 通 过 docker diff 检查 容器 是 否 与 镜像 存在 任何 差异 。 如 果 使 用 的 是 只 读 
文件 系统 就 更 好 了 (参见 13.7.7 市 )， 这 样 可 以 确保 容器 内 没有 任何 东西 被 更 改过 。 


就 最 低 限 度 而 言 ， 检 查 时 应 确认 你 使 用 的 软件 版 本 是 最 新 的 ， 并 且 确 保 最 新 的 安全 补丁 已 
经 用 上 。 你 应 该 检查 每 个 镜像 ， 并 且 如 果 通 过 docker diff 命令 发 现任 何 被 修改 过 的 文件 
这 些 文件 也 应 该 被 检查 。 如 有 果 使 用 了 数据 卷 ， 你 还 需要 审核 每 个 数据 卷 目录 。 

如 果 你 能 够 运行 一 个 极 简 的 镜像 ， 甚 中 只 包含 应 用 程序 必需 的 文件 和 程序 库 ， 那 么 审核 的 
工作 量 将 会 大 幅度 减少 。 

正如 你 会 对 一 台 普 通 的 主机 或 虚拟 机 所 做 的 那样 ， 主 机 系统 也 需要 进行 审核 。 主 机 的 内 核 
是 所 有 容器 共用 的 ， 因 此 在 容器 化 系统 中 ， 确 保 内 核 已 正确 安装 安全 补丁 就 变 得 尤其 重要 。 
目前 已 经 有 一 些 工 具 可 以 用 于 审核 容 絮 系统 ， 我 期 望 接 下 来 的 儿 个 月 将 会 有 更 多 工具 面 
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世 。 值 得 注意 的 是 ，Docker 发 布 了 Docker Bench for Security (https://github.com/docker/docker- 
bench-security) ， 这 个 工具 可 以 检查 系统 是 否 遵循 Docker Benchmark 文件 中 的 建议 ， 该 文 
件 由 Docker 与 互联 网 安全 中 心 (Center for Internet Security, CIS, https://benchmarks. 
cisecurity.org/) 联合 制定 ， 文 件 中 提出 了 很 多 安全 方面 的 建议 。 此 外 ， 开 源 审核 工具 Lynis 
(https://cisofy.com/lynis/) 也 有 一 些 针 对 运行 Docker 的 检查 。 


13.11 事件 响应 


一 旦 发 生 任何 状况 ， 你 可 以 利用 Docker 的 一 些 功 能 对 事件 快速 作出 反应 ， 并 查 出 问题 的 
根源 所 在 。 其 中 一 个 重要 的 命令 是 docker commit， 它 能 够 快速 获取 遭受 攻击 的 系统 的 快 
照 ， 而 docker diff 和 docker logs 则 可 以 揭示 攻击 者 曾经 作出 的 更 改 。 


当 处 理 遭 受 攻击 的 系统 时 ， 一 个 必须 回答 的 问题 是 :“ 容 器 突破 有 没有 发 生 ? ”( 换 句 话 
说 ， 攻 击 者 获得 了 主机 的 访问 权限 了 吗 ? )。 如 果 你 认为 有 这 个 可 能 性 ， 甚 至 应 该 已 经 发 
生 了 ， 那 么 主机 上 的 所 有 东西 都 必须 完全 删除 ， 所 有 容器 只 能 从 镜像 重新 创建 〈 在 某 种 补 
救 措施 真正 实施 到 位 之 前 )。 如 果 你 能 够 确定 攻击 完全 被 容器 隔离 ， 只 需 停 止 容 器 并 把 它 
更 换 即 可 。( 绝 对 不 能 把 已 被 成 功 入 侵 的 容器 重新 投入 服务 ， 即 使 容器 中 有 一 些 基础 镜像 
没有 的 数据 或 修改 也 不 行 ， 因 为 这 个 容器 已 经 无 法 信任 了 。) 

对 容器 实施 限制 措施 可 能 是 防御 攻击 的 有 效 手段 ， 壁 如 放弃 某 些 内 核能 力 ， 或 把 文件 系统 
设 为 只 读 。 

一 旦 紧急 情况 已 被 处 理 ， 并 且 应 对 攻击 的 措施 已 实施 到 位 ， 便 可 以 对 问题 镜像 进行 分 析 ， 
以 确定 攻击 的 根本 原因 和 影响 程度 。 


有 关 如 何 制定 事件 响应 的 有 效 安全 策略 ， 请 参阅 由 CERT 发 布 的 “Steps for Recovering from 
a UNIX or NT System Compromise” (https:/www.cert.org/historical/tech_tips/win-UNIX-system_ 
compromise.cftm)， 以 及 ServerFault 网 站 上 的 建议 (https://serverfault.com/questions/218005/ 
how-do-i-deal-with-a-compromised-server) 


13.12 ”未 来 特性 


与 安全 相关 的 几 个 Docker 特性 正在 开发 中 。 由 于 Docker 已 经 提升 了 这 些 功能 的 优先 级 别 ， 
当 你 读 到 这 里 的 时 候 ， 或 许 已 经 能 够 用 上 它们 了 。 


Seccomp 


Linux 的 seccomp (或 称 为 secure computing mode) 机 制 可 用 于 限制 进程 能 够 调用 的 内 
核 系统 函数 。seccomp 最 为 人 熟知 的 应 用 领域 是 网 页 浏览 器 ， 包 括 Chrome 和 Firefox， 
它们 以 沙 盒 的 方式 来 隔离 插件 。Docker 与 seccomp 整合 后 ， 可 以 使 容器 只 能 调用 某 部 
分 系统 函数 。 在 Docker 与 seccomp 的 整合 提议 中 ，32 位 的 函数 、 过 去 的 网 络 函 数 ， 以 
及 容器 一 般 不 需要 的 系统 函数 将 被 默认 拒绝 。 此 外 ， 在 系统 运行 时 ， 你 可 以 明确 声明 需 
要 拒绝 或 允许 的 函数 。 例 如 ， 下 面 的 命令 将 允许 容器 调用 clock_adjtime， 因 为 网 络 时 
间 协 议 (Network Time Protocol，NTP) 的 守护 进程 需要 它 来 进行 系统 时 间 同 步 : 
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$ docker run -d --security-opt seccomp:allow:clock_adjtime ntpd 
用 户 命名 空间 


如 前 文 所 述 ， 已 经 有 多 个 提案 涉及 如 何 改善 用 户 命名 空间 的 问题 ， 尤 其 是 root 用 户 。 
可 以 预期 在 不 久 的 将 来 ，Docker 将 支持 把 root 用 户 映射 到 主机 上 的 普通 用 户 。 


此 外 ， 我 希望 Docker 能 够 把 各 种 不 同 的 安全 工具 进行 整合 ， 例 如 以 安全 配置 文件 的 方式 
应 用 在 容器 上 。 目 前 ， 安 全 工具 和 选项 之 间 还 有 大 量 的 功能 重合 (例如 ， 为 了 限制 文件 存 
取 ， 可 以 使 用 SELinux、 禁 止 相关 的 内 核能 力 ， 以 及 使 用 --read-only 参数 )。 


13.13 总结 


正如 我 们 在 本 章 中 所 看 到 的 ， 确 保 系 统 安全 要 萎 虑 很 多 方面 。 首 要 的 安全 策略 是 遵循 纵深 
防御 和 最 低 权 限 的 原则 。 这 能 够 确保 ， 即 使 攻击 者 成 功 入 侵 了 系统 的 一 部 分 ， 也 无 法 取 
得 整个 系统 的 访问 权限 ， 在 造成 严重 破坏 或 取得 敏感 信息 之 前 ， 他 还 需要 攻破 更 多 的 防 
御 措施 。 


如 果 多 个 容器 组 分 属于 不 同 用 户 ， 或 负责 处 理 敏 感 数据 ， 它 们 应 该 放 在 虚拟 机 中 和 运行， 并 
与 其 他 用 户 的 容器 或 开放 了 公共 接口 的 容器 相隔 离 。 容 器 开放 的 端口 应 该 受到 严格 控制 ， 
尤其 是 对 外 开放 的 端口 ， 但 即使 只 对 内 开放 也 要 注意 ， 以 防 攻击 者 从 其 他 已 经 被 成 功 入 
侵 的 容器 访问 得 到 。 容 器 可 用 的 资源 及 功能 应 仅 限 于 它 所 需要 的 ， 可 以 通过 限制 内 存 使 用 
量 、 文 件 访问 权限 以 及 内 核能 力 来 实现 。 还 可 以 在 内 核 级 别 实现 更 进一步 的 安全 保障 ， 通 
过 运行 加 固 内 核 ， 以 及 使 用 安全 模块 ， 如 AppArmor 或 SELinux。 
此 


外 ， 通 过 使 用 监控 和 审核 可 以 尽早 发 现 攻 击 。 尤 其 是 审核 ， 在 容器 化 系统 中 进行 审核 是 
很 特别 的 ， 因 为 我 们 可 以 轻松 地 将 容器 与 创建 它 的 镜像 进行 对 比 ， 从 而 找 出 是 否 有 可 疑 的 
改动 。 而 且 镜 像 还 可 以 用 于 离线 审查 ， 以 确保 它 运行 的 软件 是 最 新 的 和 安全 的 。 至 于 已 被 
入 侵 的 容器 ， 如 有 果 它 是 无 状态 的 话 ， 更 换 一 个 新 版 本 就 可 以 了 。 

就 安全 性 而 言 ， 容 器 发 挥 了 正面 作用 ， 因 为 它 能 够 提供 多 一 重 隔离 和 控制 。 正 确 使 用 容器 
的 系统 只 会 比 没有 使 用 容器 的 系统 更 安全 。 
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作者 简介 


Adrian Mouat 是 Container Solutions 公司 的 首席 科学 家 ， 该 公司 专注 于 在 泛 欧洲 地 区 提供 
Docker 和 Mesos 的 相关 服务 。 曾 于 爱丁堡 大 学 并 行 计算 中 心 (EPCC) 担任 应 用 程序 顾问 
一 职 。 


关于 封面 


本 书 封面 的 动物 是 一 头 弓 头 鲸 (学 名 Balaena mysticetus)。 它 是 一 种 体 色 较 深 体型 粗壮 
的 鲸 ， 特 征 是 无 背 鲜 。 己 头 鲸 一 生 都 在 北极 及 附近 一 带 的 水 域 洲 过 ， 并 不 会 像 其 他 鲸 类 一 
样 ， 为 了 砚 食 和 繁殖 而 迁徙 到 低 纬 度 的 水 域 。 


弓 头 鲸 体型 硕大 健壮 ， 长 度 能 达到 16 米 (雄性 ) 和 18 米 〈 唆 性 )。 它 们 有 巨大 的 三 角形 
颅骨 ， 用 于 章 穿 北极 冰 层 呼吸 。 忆 头 鲸 的 下 疾 明 显 呈 弓形 ， 颜 色 呈 和 白色， 上 桥 窜 ， 其 中 容 
纳 的 鲸 须 长 度 为 鲸 类 中 最 长 (3 米 )， 用 于 过 滤 水 中 的 细小 猎物 。 它 的 一 对 喷气 孔 位 于 头 部 
的 最 上 方 ， 能 够 把 水 喷 到 6 米 高 。 它 的 鲸 脂 厚 度 堪 称 鲸 类 之 最 ， 厚 达 43~50 厘米 。 


己 头 繁 独 来 独 往 ， 或 以 6 头 的 小 群体 同行 。 它 们 能 够 在 水 中 过 留 最 长 11 小时， 但 通常 每 次 
在 水 中 停留 的 时 间 为 4~15 分 钟 。 己 头 鲸 一 般 每 小 时 能 前 进 2~5 千 米 ， 对 鲜 来 说 并 不 算 快 ， 
但 遇 到 危险 时 ， 它 们 的 速度 能 达到 每 小 时 10 千 米 。 虽 然 弓 头 鲸 不 太 合群 ， 但 它们 在 大 型 
鲸 类 中 最 会 使 用 声音 沟通 。 它 们 在 前 行 、 社 交 和 进食 时 都 会 在 水 中 使 用 声音 互相 沟通 。 交 
配 季 到 来 时 ， 忆 头 鲸 会 发 出 长 而 复杂 的 歌声 作为 求偶 信号 

己 头 鲸 是 已 知 最 长 寿 的 哺乳 类 动物 ， 寿 命 可 超过 200 岁 。2007 年， 一头 15 米 长 的 弓 头 鲸 
在 阿拉 斯 加 海岸 被 捕获 ， 在 它 颈 部 的 鲸 脂 中 发 现 了 一 块 捕 鲸 枪 的 残片 。 该 捕 鲸 枪 被 追溯 至 
位 于 马萨诸塞 州 新 贝 德 福 德 (New Bedford) 的 一 所 主要 的 捕 鲸 中 心 ， 其 生产 年 份 鉴定 为 
1890 年 。 其 他 己 头 鲸 的 年 龄 则 被 监 定 为 135~172 岁 。 忆 头 鲸 曾 一 度 濒 临 灭 绝 ， 在 商业 捕 旦 
停止 后 ， 数 量 有 所 回升 。 虽 然 阿拉 斯 加 的 原 住 民 为 了 生计 ， 仍 会 捕猎 少量 (25~40 头 ) 的 
忆 头 鲸 ， 但 预计 并 不 会 对 它们 数量 的 恢复 产生 影响 


O’Reilly 出 版 的 图 书 ， 封 面 上 很 多 动物 都 濒临 灭绝 。 这 些 动物 都 是 地 球 的 至 宝 。 如 果 你 想 
知道 如 何 保 护 这 些 动物 ， 请 访问 animals.oreilly.com。 








封面 图 片 出 自 Braukhaus Lexicon。 
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Docker 开 发 指南 


Docker 容 器 给 软件 的 开发 、 发 布 和 运行 提供 了 简单 、 快 速 和 可 靠 的 方 
法 ， 尤 其 是 在 动态 和 分 布 式 的 环境 中 。 通 过 这 本 实战 指南 ， 你 将 学 习 到 
为 什么 容器 如 此 重要 ，Docker 能 带 来 哪些 好 处 ， 以 及 怎样 把 它 变 成 开发 
流程 的 一 部 分 。 


本 书 适合 软件 开发 者 、 运 维 工程 师 和 系统 管理 员 ， 尤 其 适合 对 DevOps 模 
式 感 兴趣 的 读者 。 作 者 将 带领 你 从 基础 知识 出 发 ， 直 到 了 解 如 何在 多 主 
机 系统 上 运行 数 十 个 拥有 联网 和 调度 能 力 的 容器 系统 ， 重 在 让 你 掌握 使 
用 Docker 来 开发 、 测 试 以 及 部 署 Web 应 用 。 


国 从 构建 和 部 署 简单 Web 应 用 开始 了 解 Docker 
加 使 用 持续 部 署 技 术 ， 把 应 用 一 天 多 次 推送 到 生产 环境 
国 学 习 各 种 不 同 的 选项 和 技术 ， 实 现 多 容器 的 日 志 记录 和 监控 


加 剖析 联网 和 服务 发 现 : 容器 之 间 如 何 寻 找 对 方 ， 以 及 怎样 把 它们 
连接 起 来 


四 通过 运用 容器 的 编排 和 集群 功能 ， 解 决 负载 均衡 、 扩 展 、 故 障 切 
换 以 及 调度 的 问题 


四 遵守 纵深 防御 和 最 小 权限 的 原则 ， 确 保 系 统 安 全 
四 利用 容器 构建 微服 务 架构 





Adrian Mouat，Container Solutions 公 司 首席 科学 家 。 参 与 过 很 多 软件 项 
目 ， 既 有 小 型 的 Web 应 用 ， 也 有 大 型 数据 分 析 软 件 。 
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“《Docker 开 发 指南 》 详 尽 、 实 
用 ， 尤 为 难能可贵 的 是 ， 书 中 
介绍 了 怎样 在 Docker 的 生态 系 
统 中 把 容器 化 的 微服 务 从 开发 / 
测试 环境 迁移 到 生产 环境 。” 

一 一 Adrian Cockcroft 
Battery Ventures 技 术 分 析 师 


“《Docker 开 发 指南 》 对 Docker 
和 容器 生态 进行 了 深入 而 全 面 
的 介绍 。 这 本 书 注 重 实践 ， 包 
含 大 量 范例 ， 因 此 把 其 中 的 概 


念 和 技巧 运用 到 实际 项 目 中 将 
非常 容易 。” 
一 一 Pini Reznik 
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